クラウドサービスの短縮URLは、攻撃者がプライベートリソースの場所を探し出すのにも悪用されるおそれがあることを研究者らが発見した。プライベートリソースにはファイルだけでなく、病院など車で向かっている先の情報までも含まれる。
コーネル大学の大学院プログラム「コーネルテック」の研究者らは論文(PDFファイル)を発表し、その中でMicrosoftの「OneDrive」やGoogleの「Maps」といったクラウドサービスが提供する短縮URLを利用する際にはプライバシー上の深刻なリスクが伴うことを示した。
短縮URLの大きな問点題は、これに含まれる6~7文字のトークンが短すぎるため、ファイルを共有している実際のURLを攻撃者に推測されてしまうことだ。そのため、URLは共有した相手だけでなく、ウェブ上の誰もがアクセスできてしまう可能性がある。
さらに悪いことに、多くのクラウドサービスはクラウドからユーザーのコンピュータにファイルを同期するため、あるファイルの短縮URLから、ユーザーが所有する他のすべてのファイルに攻撃者を誘導するおそれがある。
研究者らはさらに、この方法で特定したアカウントの一部について、マルウェアを仕掛けられるおそれがあることを発見した。
同じ問題は、Microsoft OneDrive、「Google Drive」、Google Maps、「Bing Maps」で使われているURL短縮サービスでも発見された。
Microsoftは3月、OneDriveで共有するために短縮URLを生成する機能を削除した。ただし、コーネルテックの研究者らによると、同社はこの研究者らが以前提供した脆弱性レポートが理由でこの機能を削除したことを否定しているという。この問題についてMicrosoftが最初に報告を受けたのは2015年5月だ。
2015年9月には、研究者側がGoogleに対し、Google Mapsの短縮URLによる情報流出のリスクについて通知した。Googleは、報告から1週間以内に短縮URLのトークンを11~12文字に増やして、以前より推測しにくいものにした。
地図サービスの場合、研究者らは、ユーザーの間で共有される位置情報だけでなく、移動経路も短縮URLから明らかになるおそれがあることを発見した。そうした移動経路には、自宅の住所を出発地として、病院、特定の病気や妊娠中絶などの処置に関連する医師、矯正施設を目的地とするものも多い。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
