2025年6月、各誌に株式会社大創産業(ダイソー)におけるGoogleグループでの情報漏えいに関する記事が公開されました。
記事によると、同社では 業務で利用していたGoogleグループの閲覧権限に設定不備があり、顧客や取引先、中途採用応募者、従業員等とのやりとりに関するメールの一部が、外部から閲覧可能な状態となっていました。
昔からこの手の問題は存在していましたが、この記事を受け「現在でも多くの組織で同様の問題が発生しているのではないか?」という疑問が湧きました。Googleグループは多くの組織で利用されているツールであり、設定不備は決して珍しいものではありません。調査を開始したところ、次々と同様の不備による情報漏えいの事例を見つけることができました。Googleグループの検索エンジンには若干の癖があるため、すぐに見つかる情報漏えいに関しては事象が限定的なものが多いものの、深掘りして調査をするとより多くの致命的な情報漏えいなども確認することができました。
● 調査手法と発見された50件のインシデント
この深刻な状況を受けて、まずは情報処理推進機構(IPA)に連絡を取り、適切な対応を依頼しました。しかし、IPAからは「Googleが提供するサービスの利用者等へ指導等を行う権限を有していない」という趣旨の内容で、対応できない旨の返信がありました。
公的機関でも対応できないとなれば、誰がこの問題を解決するのか? セキュリティに関わるものとして、見つけてしまった情報漏えいを放置するわけにもいかないので、やむをえず個人での調査・対応の依頼を開始する判断に至りました。本記事では、実際に連絡を行った50件の事例を詳細に分析し、組織が直面しているセキュリティリスクとその対策について考察します。
まずは、Googleグループで個人情報や取引先情報が漏えいしている可能性のある事例を見つけ次第、該当組織にコンタクトを取って対応を依頼するという活動を実施しました。比較的規模や内容的にも深刻なものを逐次報告していき、おおよそ50件に近づいてきた時に、深刻なものがあまり見つからなくなって来たため、50件を一旦ゴールとしてその結果をまとめてみました。
● 漏えい情報の種類と規模
調査で発見された情報漏えいの実態は、予想を上回るものでした。当初は、そうはいっても設定はきちんと行われており、ほとんど見つからないだろうと考えていましたが、実際に調べてみると、多くの情報が外部から閲覧可能な状態でした。
以下に、個人情報漏えい件数をまとめました。情報漏えいが確認できた事例のうち、幸いなことに数万件規模は1件しかありませんでしたが、それでも情報の重要度を鑑みると非常に危険な状態と言わざるを得ません。特に注目すべきは、これらの漏えいがGoogleグループという、本来は社内情報共有のためのツールで発生していることです。まるで、自宅の玄関の鍵をかけ忘れたまま外出しているような状況が、組織レベルで発生しているようなものです。
個人情報漏えいの規模別件数
- 数万件:1件
- 数千件:3件
- 数百件:5件
- 数十件:15件
- 10件前後:3件
今回はGoogleグループ上での直接的な情報漏えいに絞って調査を行っておりましたが、アカウント乗っ取りのリスクも深刻な問題です。採用管理サイトへのログイン情報を受け取っているGoogleグループも多く存在していたため、アカウントの乗っ取りなどのケースを考えると、更に多くの個人情報が危険に晒されていると思われます。なお、調査の過程でアカウントを発見した2件については、該当組織へ連絡済です。
また、採用管理以外のアカウント情報の乗っ取りに関しても注意が必要です。
もちろんというのはおかしな話ですが、個人情報だけでなく組織の機密情報が広範囲にわたって漏えいしていることも判明しました。特に、公開前のサービス・企画や、秘密保持契約を結んでいるような案件(秘密保持契約書自体が漏えいしている!)などが閲覧可能な状態になっており、これらはビジネスパートナーとの信頼関係に深刻な影響を与える可能性があります。特殊なものとしては、SNSでフォロワーを多数抱える著名な方の仕事の依頼窓口のメールアドレスも確認できました。
組織情報漏えいの種類別件数
- 取引先情報:10件
- システム情報:4件
- 社内情報:3件
これは余談ですが、アカウント乗っ取りをされてしまう可能性のある組織・個人ではなく、その対象サービスを運営している組織への連絡も試みました。対象は3件、ECサイトでの顧客アカウント乗っ取り可能性、採用管理システムでの顧客アカウント乗っ取り可能性、そして証券会社での認証コード漏えいです。しかし、サービス運営側からは個別のユーザへの対応は難しいのか、1ヶ月程度経ってから確認してみましたが、対応はされていませんでした(証券会社に関しては、事象の報告に対する返信もありません…)。
● 対応率の実態
調査結果から浮かび上がった組織のセキュリティ対応の実態は、必ずしも十分とは言えないものでした。一見すると、対応率80%(40件/50件)は悪くない数字に見えます。しかし、この数字だけでは捉えきれない課題が内在していることも明らかになりました。
興味深いのは、組織側の具体的な対応状況です。
注目すべき点として、対応が確認できた組織であっても、必ずしも根本的な改善に至っていないケースが見受けられました。直接的な情報漏えいへの対応は行われていたものの、Googleグループに第三者が参加して内容を閲覧できる設定がそのまま残されているなど、対応が限定的にとどまっている事例がありました。
こうした結果から、セキュリティインシデント対応が一時的な措置に偏りがちである状況もうかがえます。情報の削除や一時的なアクセス制限は実施されている一方で、設定不備や管理体制といった根本的な要因への対応が十分でない場合、同様の問題が再発する可能性が残る状況といえるでしょう。
● 対応時間の分析
メール送信から対応までの時間を記録した結果、組織によって対応速度に大きな差があることが判明しました。対応があった組織の多くは、数時間から数日程度でGoogleグループの公開設定を変更していました。ただし、私たちに直接反応を示した組織もあれば、設定変更のみで反応がない組織もあり、対応の質にはばらつきが見られました。
この結果は、迅速に設定変更ができた組織であっても、必ずしもセキュリティインシデントへの対応体制が整っているわけではないことを示しています。多くの組織は、インシデントに対して一定の温度感で対応したという程度の認識であることが推測されます。
なお、今回の調査では、意図的に公開されているのか判断が難しかったため対象外としましたが、サークル活動や保護者会、マンションの理事会など、内容の取り扱いに注意を要するメールが公開状態となっているケースも多く確認されました。
記事によると、同社では 業務で利用していたGoogleグループの閲覧権限に設定不備があり、顧客や取引先、中途採用応募者、従業員等とのやりとりに関するメールの一部が、外部から閲覧可能な状態となっていました。
昔からこの手の問題は存在していましたが、この記事を受け「現在でも多くの組織で同様の問題が発生しているのではないか?」という疑問が湧きました。Googleグループは多くの組織で利用されているツールであり、設定不備は決して珍しいものではありません。調査を開始したところ、次々と同様の不備による情報漏えいの事例を見つけることができました。Googleグループの検索エンジンには若干の癖があるため、すぐに見つかる情報漏えいに関しては事象が限定的なものが多いものの、深掘りして調査をするとより多くの致命的な情報漏えいなども確認することができました。
● 調査手法と発見された50件のインシデント
この深刻な状況を受けて、まずは情報処理推進機構(IPA)に連絡を取り、適切な対応を依頼しました。しかし、IPAからは「Googleが提供するサービスの利用者等へ指導等を行う権限を有していない」という趣旨の内容で、対応できない旨の返信がありました。
公的機関でも対応できないとなれば、誰がこの問題を解決するのか? セキュリティに関わるものとして、見つけてしまった情報漏えいを放置するわけにもいかないので、やむをえず個人での調査・対応の依頼を開始する判断に至りました。本記事では、実際に連絡を行った50件の事例を詳細に分析し、組織が直面しているセキュリティリスクとその対策について考察します。
まずは、Googleグループで個人情報や取引先情報が漏えいしている可能性のある事例を見つけ次第、該当組織にコンタクトを取って対応を依頼するという活動を実施しました。比較的規模や内容的にも深刻なものを逐次報告していき、おおよそ50件に近づいてきた時に、深刻なものがあまり見つからなくなって来たため、50件を一旦ゴールとしてその結果をまとめてみました。
● 漏えい情報の種類と規模
調査で発見された情報漏えいの実態は、予想を上回るものでした。当初は、そうはいっても設定はきちんと行われており、ほとんど見つからないだろうと考えていましたが、実際に調べてみると、多くの情報が外部から閲覧可能な状態でした。
Googleグループ上で閲覧できる情報の多くは、意図して公開しているのかどうか判断が難しいものが多くありましたが、明らかに公開前提ではないと思われる情報もいくつか観測できました。特に深刻なものとしては、採用応募者と思われる個人情報が挙げられます。氏名、住所、電話番号、履歴書、職務経歴書、年収情報といった、個人情報の中でも特に重要な情報が漏えいしている事例が複数確認できました。これらの情報は、個人のプライバシーや社会的地位に直接影響を与える可能性がある極めて重要な情報です。
以下に、個人情報漏えい件数をまとめました。情報漏えいが確認できた事例のうち、幸いなことに数万件規模は1件しかありませんでしたが、それでも情報の重要度を鑑みると非常に危険な状態と言わざるを得ません。特に注目すべきは、これらの漏えいがGoogleグループという、本来は社内情報共有のためのツールで発生していることです。まるで、自宅の玄関の鍵をかけ忘れたまま外出しているような状況が、組織レベルで発生しているようなものです。
個人情報漏えいの規模別件数
- 数万件:1件
- 数千件:3件
- 数百件:5件
- 数十件:15件
- 10件前後:3件
今回はGoogleグループ上での直接的な情報漏えいに絞って調査を行っておりましたが、アカウント乗っ取りのリスクも深刻な問題です。採用管理サイトへのログイン情報を受け取っているGoogleグループも多く存在していたため、アカウントの乗っ取りなどのケースを考えると、更に多くの個人情報が危険に晒されていると思われます。なお、調査の過程でアカウントを発見した2件については、該当組織へ連絡済です。
また、採用管理以外のアカウント情報の乗っ取りに関しても注意が必要です。
例えば、SNSアカウントが乗っ取られた場合、組織のブランドイメージに与える影響は計り知れません。今回は、フォロワー3万人を抱えるSNSアカウントの乗っ取り可能性が1件発見され、連絡をしています。
もちろんというのはおかしな話ですが、個人情報だけでなく組織の機密情報が広範囲にわたって漏えいしていることも判明しました。特に、公開前のサービス・企画や、秘密保持契約を結んでいるような案件(秘密保持契約書自体が漏えいしている!)などが閲覧可能な状態になっており、これらはビジネスパートナーとの信頼関係に深刻な影響を与える可能性があります。特殊なものとしては、SNSでフォロワーを多数抱える著名な方の仕事の依頼窓口のメールアドレスも確認できました。
組織情報漏えいの種類別件数
- 取引先情報:10件
- システム情報:4件
- 社内情報:3件
これは余談ですが、アカウント乗っ取りをされてしまう可能性のある組織・個人ではなく、その対象サービスを運営している組織への連絡も試みました。対象は3件、ECサイトでの顧客アカウント乗っ取り可能性、採用管理システムでの顧客アカウント乗っ取り可能性、そして証券会社での認証コード漏えいです。しかし、サービス運営側からは個別のユーザへの対応は難しいのか、1ヶ月程度経ってから確認してみましたが、対応はされていませんでした(証券会社に関しては、事象の報告に対する返信もありません…)。
● 対応率の実態
調査結果から浮かび上がった組織のセキュリティ対応の実態は、必ずしも十分とは言えないものでした。一見すると、対応率80%(40件/50件)は悪くない数字に見えます。しかし、この数字だけでは捉えきれない課題が内在していることも明らかになりました。
興味深いのは、組織側の具体的な対応状況です。
全てのメールに「情報漏えいである場合は、状況確認のために連絡をください」という主旨の文言を記載していたにもかかわらず、返答率が24%にとどまりました。76%の組織からは反応が得られませんでした。
注目すべき点として、対応が確認できた組織であっても、必ずしも根本的な改善に至っていないケースが見受けられました。直接的な情報漏えいへの対応は行われていたものの、Googleグループに第三者が参加して内容を閲覧できる設定がそのまま残されているなど、対応が限定的にとどまっている事例がありました。
こうした結果から、セキュリティインシデント対応が一時的な措置に偏りがちである状況もうかがえます。情報の削除や一時的なアクセス制限は実施されている一方で、設定不備や管理体制といった根本的な要因への対応が十分でない場合、同様の問題が再発する可能性が残る状況といえるでしょう。
● 対応時間の分析
メール送信から対応までの時間を記録した結果、組織によって対応速度に大きな差があることが判明しました。対応があった組織の多くは、数時間から数日程度でGoogleグループの公開設定を変更していました。ただし、私たちに直接反応を示した組織もあれば、設定変更のみで反応がない組織もあり、対応の質にはばらつきが見られました。
この結果は、迅速に設定変更ができた組織であっても、必ずしもセキュリティインシデントへの対応体制が整っているわけではないことを示しています。多くの組織は、インシデントに対して一定の温度感で対応したという程度の認識であることが推測されます。
なお、今回の調査では、意図的に公開されているのか判断が難しかったため対象外としましたが、サークル活動や保護者会、マンションの理事会など、内容の取り扱いに注意を要するメールが公開状態となっているケースも多く確認されました。
Googleグループを利用している団体や組織の皆様におかれましては、該当する可能性がある場合、一度設定状況を確認されることをお勧めします。
編集部おすすめ
![[みんなのケータイ]ミラー&スタンド合体のMagSafeライト「LM23」が取材の強い味方に](http://imgc.eximg.jp/i=https%253A%252F%252Fs.eximg.jp%252Fexnews%252Ffeed%252Fk_tai_watch%252F7b%252Fk_tai_watch_1385639170677523092%252Fk_tai_watch_1385639170677523092_1.jpg,zoom=184x184,quality=100,type=jpg)
![[USBで録画や再生可能]Tinguポータブルテレビ テレビ小型 14.1インチ 高齢者向け 病院使用可能 大画面 大音量 簡単操作 車中泊 車載用バッグ付き 良い画質 HDMI端子搭載 録画機能 YouTube視聴可能 モバイルバッテリーに対応 AC電源・車載電源に対応 スタンド/吊り下げ/車載の3種類設置 リモコン付き 遠距離操作可能 タイムシフト機能付き 底部ボタン 軽量 (14.1インチ)](https://m.media-amazon.com/images/I/51-Yonm5vZL._SL500_.jpg)