こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
一般社団法人シェアリングエコノミー協会は7月20日、この協会が主催する「四国支部及び四国わかちあいネットワーク設立記念イベント『With Share 四国』」での個人情報漏えいについて発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】Googleフォームの設定ミスで、個人情報が漏えいしてしまったということです。今回は設定ミスで発生するインシデントと、その対策について説明します。
手軽に使えるGoogleフォームは、確かに便利です。ただし、簡単に使えるということは、重要なポイントを見逃してしまう原因にもなるようです。
今回のインシデントは、自分が申し込んだ後に表示される「前回の回答の表示」というリンクをクリックすると他人の申込情報が閲覧できる状態であったことが、申込者から連絡があり発覚しました。原因として、Googleフォームの設定ミスが挙げられています。
Googleフォームの設定に、プレゼンテーションの項目で「結果の概要を表示する」の機能が有効になっていたことが考えられます。この機能がオンになっていると「前の回答を表示」のリンクが有効になり、Googleフォームで回答されたアンケートの集計結果が表示されてしまいます。もし、個人データを収集するアンケートだった場合、個人情報の漏えいにつながってしまうことになります。
アンケートの内容にもよりますが、個人データなど重要な情報を受け取る場合は、プライバシーポリシーなどを確認して、入力された情報を適切に取り扱ってくれるサービスを利用することが必要です。これは、ツール選びで最低限確認しなければいけない項目ですが、インシデント自体はどちらかというと、今回のような設定ミスで発生しているようです。
また、設定ミスを防ぐには、公開前に実際に操作してみて、今回のような設定ミスがないかテストすることが有効です。今回のインシデントの場合は、一度は操作してみれば有効にしてはいけない機能であることは明白なので、未然に防ぐことができた範囲だと思われます。ただし、設定項目が多いクラウドサービスだったり、自分でテストすることに自信がなかったりする場合は、セキュリティの専門会社に任せてしまうのも、お金はかかりますが確実な方法の一つです。
こういったインシデントは、一定数発生するものと理解した上で、Webサイトに入力する情報には気を付けてください。先ほど説明したテストも、個人データを預けるユーザ側としては、しっかりやってくれているものであると思いたいところですが、残念ながらすべてのサービスでそのような状況にはないかもしれません。
あと、アクセスしたWebサイトが、そもそもフィッシング詐欺であることも否定できないわけで、その情報が悪用されてしまう可能性も考慮する必要があります。いずれにしても、今入力しようとしている情報は本当に必要とされているものなのか、その都度考える習慣は身に着けたほうがいいかもしれませんね。
今回は、手軽に利用できる一方で、設定ミスも発生しやすいGoogleフォームのインシデント対策についてお届けしました。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
