HOME情報セキュリティ2013年10月の呼びかけ

本文を印刷する

情報セキュリティ

2013年10月の呼びかけ

「今月の呼びかけ」一覧を見る
第13-33-300号
掲載日:2013年10月1日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター
(PDFはこちら)

「 インターネットサービス利用時の情報公開範囲の設定に注意! 」

 2013年7月から9月にかけて、Google社のインターネットサービスの一つである“Googleグループ”※1を利用し、一部の省庁や教育機関の関係者がやりとりをしていたメールが、同サービス利用者であれば誰でも閲覧できる状態になり、その結果機密情報が漏えいしてしまった、という報道が相次ぎました。これは、“Googleグループ”内で共有していたメールの公開設定の確認が不十分だったことにより、機密情報が漏洩してしまったものです。

表1:“Googleグループ”での主な情報漏えい事例
組織 漏えい内容
A省 国際条約の交渉内容など
B省 立案作業中の内容など
C省 官民協働の資料内容
D大学 学籍番号、氏名、メールアドレス、メール内容など
E大学 氏名、勤務先住所、電話番号、メールアドレスなど

 また、官公庁の職員や企業の従業員が、SNS(ソーシャルネットワーキングサービス)を使って投稿した不適切な書き込みや写真が、自分が想定していない人にも見られてしまい、それがもとで非難を受け、自身のSNSが“炎上※2”してしまうというケースもありました。

 SNSは気軽に情報発信できるツールとして使われており、利用者自らインターネット上に自分の情報を公開することに抵抗がなくなってきたことで、「誰に対してどこまで自分の情報を公開するのか」といった注意が薄らいでいると考えられます。

 情報漏えいのリスクを回避するためには、情報公開の範囲を確認し、不用意に情報が公開されてしまうことのないようにしなければなりません。今月の呼びかけでは、インターネットサービスの設定事例を示し、利用者に情報公開の範囲を意識したサービスの利用を促していきます。また、情報公開の範囲とは異なりますが、デジタルカメラやスマートフォンで撮った写真の公開時の注意点についても示します。
    ※1: 米国Google社のインターネット無料サービスの1つ。グループに登録した利用者だけでインターネット上からメールを共有したり、他のグループの情報を検索することができる。
    ※2: SNSなどから投稿された内容に、コメントや非難と言った内容が大量に送られ、当該サイトが閲覧できなくなるなどの現象を、火事の炎上でどうしようもないさまにたとえた言葉。

(1)情報公開のリスク

 ここでは、どのような情報が公開されると、どのようなリスクに繋がるのか、例を挙げて示します。
    【1】“Googleグループ”を使ったメール内容の公開
      例: メール内容の公開範囲の初期設定は当初、[全てのユーザー]に設定されており、それを「気にとめず」にそのまま利用していたため、メールはGoogleグループを使用しているユーザーなら誰でも閲覧できる状態になっていました。
      リスク: 表1の「漏えい内容」に記したような機密情報や個人情報の漏えいに繋がります。
      “Googleグループ“内の記載内容は、通常の検索サイトからは検索されません。しかし、” Googleグループ”内でメール内容をコピーされてブログや掲示板サイトに書き込まれてしまうと、コピーした内容が通常の検索サイトでも検索されてしまうため、さらに漏えい被害が拡がる可能性があります。

    【2】SNSやブログからの情報公開
      例: SNSやブログのプロフィールに、個人や生活圏が特定できてしまう情報(本名、住所、顔写真など)を「余り深く考えず」に書いたり載せてしまったり、「不適切」な発言や写真を投稿して公開してしまう。
      リスク: 情報発信や人との繋がりを持つために活用されるSNSやブログですが、必要以上の情報公開は個人情報漏えいのリスクに繋がる可能性があり、発言や写真の公開には注意が必要です。発言内容や投稿写真によっては、個人の特定や投稿者同士でのトラブルになりかねません。

    【3】ウィッシュリスト(ほしい物リスト)の公開
      例: インターネット通販サイトのウィッシュリストを実名で「不用意」に公開していた。
      リスク: ウィッシュリストは、自分がほしい商品や気に入った商品を知り合いに見てもらうために公開するリストですが、知り合い以外の利用者も見ることができる他、過去に購入した商品の履歴も見ることができるため、実名で登録し、そのことを「余り深く考えず」に公開をしていると、個人の趣味嗜好が漏えいすることになります。

(2)主なサービスの公開範囲設定方法

 (1)で挙げたリスクを避けられるよう、以下に主なインターネットサービスの公開範囲設定方法を示します。
    【1】“Googleグループ”
      以下の公開設定を行うことで、グループのメンバー以外の利用者から閲覧されなくなります。
      図1:“Googleグループ”の設定画面
      図1:“Googleグループ”の設定画面

      “Googleグループ”にログイン後、マイグループを開き、設定したいグループの管理をクリックして、左側メニューの[権限-基本的な権限]をクリックします。
      [トピックの表示]をクリックします。
      [ユーザーのグループを選択]を選択します。
      [一般公開]のチェックをはずします(ただし現在では、新規で作成されたグループは初期設定で[一般公開]のチェックははずれています)。

    【2】Facebook
      以下の設定から、全ての利用者、友達、自分のみ、などの選択肢から公開範囲を指定できます。
      図2:Facebookの設定画面1
      図2:Facebookの設定画面1

      Facebookにログイン後、画面右上の鍵マークのアイコンをクリックします。
      [私のコンテンツを見ることができる人]をクリックします。
      図3:Facebookの設定画面2
      図3:Facebookの設定画面2

      [投稿の共有範囲]から、公開範囲を設定します。ここで「公開」にチェックが入っている場合は、全てのFacebook利用者に公開されていることになります。[カスタム]を選択すると、「友達の友達」までや、「特定の人」などで公開範囲が設定できます。

      Facebookは、次の画面からも同じ設定が可能です。
      図4:Facebookの設定画面3
      図4:Facebookの設定画面3

      Facebookにログイン後、画面右上の歯車マークのアイコンをクリックします。
      [プライバシー設定]をクリックします。
      [今後の投稿の共有範囲]をクリックすると、③と同様に公開範囲を設定することができます。

    【3】Twitter
      以下の設定から、公開範囲を指定できます。
      図5:Twitterの設定画面1
      図5:Twitterの設定画面1

      Twitterにログイン後、画面上の歯車マークのアイコンをクリックします。
      [設定]をクリックします。
      図6:Twitterの設定画面2
      図6:Twitterの設定画面2

      画面左側のメニューより、[セキュリティとプライバシー]をクリックします。
      図7:Twitterの設定画面3
      図7:Twitterの設定画面3

      [プライバシー]-[ツイートの公開設定]から、「ツイートを非公開にする」にチェックをいれます。非公開にすると、通常の検索サイトからも検索されなくなります。
      [位置情報をツイート]の「ツイートに位置情報を追加」にチェックが入っていると、「位置情報が投稿時に付加されてしまい、どこの場所から投稿したかが知られてしまいます。必要がなければ、チェックをはずしておきましょう。

    【4】ウィッシュリスト
      例えばAmazonでは、以下の設定からウィッシュリストを非公開にできます。
      図8:ウィッシュリストの設定画面
      図8:ウィッシュリストの設定画面

      Amazonにサインイン後、画面右上にある[ほしい物リスト]をクリックして、[公開/非公開の設定を変更する]をクリックします。
      [公開/非公開の設定を変更する]画面が表示されたら、「非公開」を選択します。これで、他の利用者からウィッシュリストが閲覧されることはありません。
 上述したサービス以外でも、公開範囲の設定がある場合は、初期設定でどこまで公開されているのかの確認をしましょう。また、公開範囲を設定したからと言って何でも情報を書き込むのではなく、公開した情報は常にインターネット全体からみられていると言う意識を持っておくことが重要です。

(3)デジカメやスマホで撮った写真の公開について

 携帯端末の高性能化が進み、さまざまな機能が搭載されるようになってきました。そのひとつが、GPS(全地球測位システム)機能です。携帯端末で地図を表示させて現在地にピンを立てたり、目的地を設定して歩行者ナビゲーションやカーナビとして利用したりすることができます。

 現在では、デジタルカメラや携帯端末のカメラ機能で撮影した写真データにGPSで取得した位置情報(ジオタグ)を付加することができるようになっており、撮影地ごとに写真を整理する際に便利です。特に、スマートフォンの場合は、ジオタグを読み取ることができる写真閲覧アプリと地図アプリを利用することで、誰でも簡単にその写真が撮影された場所の位置情報を知ることができます。つまり、他人にあげた写真や、ブログやSNSなどで公開した写真にジオタグが付いていると、撮影場所が簡単に第三者に判ってしまうことになります。自分では何の気なしに撮影した写真から、ジオタグを読み取られ、悪用されないとも限りません。

 トラブルを未然に防ぐためには、スマートフォンの設定が、適切になっているか、写真データをインターネット上に公開する前には、ジオタグの有無を再度確認することが大切です。

図9:写真から撮影場所が特定された表示画面
図9:写真から撮影場所が特定された表示画面

お問い合わせ先

本件に関するお問い合わせ先

独立行政法人 情報処理推進機構 技術本部 セキュリティセンター 加賀谷/田中
Tel: 03-5978-7591 Fax: 03-5978-7518
E-mail: 電話番号:03-5978-7591までお問い合わせください。

更新履歴

2013年10月 1日 掲載

Adobe ReaderPDFファイルをご覧いただくためには、Adobe Reader(無償)が必要です。
Adobe ReaderはAdobe Readerのダウンロードページよりダウンロードできます。