編集部からのお知らせ
SNS分析のトレンドまとめ
注目「Googleのクラウド事業を読み解く」

クラウドサービスの短縮URL、情報流出のリスク--研究者らが指摘

Liam Tung (Special to ZDNet.com) 翻訳校正: 湯本牧子 吉武稔夫 (ガリレオ)

2016-04-18 11:56

 クラウドサービスの短縮URLは、攻撃者がプライベートリソースの場所を探し出すのにも悪用されるおそれがあることを研究者らが発見した。プライベートリソースにはファイルだけでなく、病院など車で向かっている先の情報までも含まれる。

 コーネル大学の大学院プログラム「コーネルテック」の研究者らは論文(PDFファイル)を発表し、その中でMicrosoftの「OneDrive」やGoogleの「Maps」といったクラウドサービスが提供する短縮URLを利用する際にはプライバシー上の深刻なリスクが伴うことを示した。

 短縮URLの大きな問点題は、これに含まれる6~7文字のトークンが短すぎるため、ファイルを共有している実際のURLを攻撃者に推測されてしまうことだ。そのため、URLは共有した相手だけでなく、ウェブ上の誰もがアクセスできてしまう可能性がある。

 さらに悪いことに、多くのクラウドサービスはクラウドからユーザーのコンピュータにファイルを同期するため、あるファイルの短縮URLから、ユーザーが所有する他のすべてのファイルに攻撃者を誘導するおそれがある。

 研究者らはさらに、この方法で特定したアカウントの一部について、マルウェアを仕掛けられるおそれがあることを発見した。

 同じ問題は、Microsoft OneDrive、「Google Drive」、Google Maps、「Bing Maps」で使われているURL短縮サービスでも発見された。

 Microsoftは3月、OneDriveで共有するために短縮URLを生成する機能を削除した。ただし、コーネルテックの研究者らによると、同社はこの研究者らが以前提供した脆弱性レポートが理由でこの機能を削除したことを否定しているという。この問題についてMicrosoftが最初に報告を受けたのは2015年5月だ。

 2015年9月には、研究者側がGoogleに対し、Google Mapsの短縮URLによる情報流出のリスクについて通知した。Googleは、報告から1週間以内に短縮URLのトークンを11~12文字に増やして、以前より推測しにくいものにした。

 地図サービスの場合、研究者らは、ユーザーの間で共有される位置情報だけでなく、移動経路も短縮URLから明らかになるおそれがあることを発見した。そうした移動経路には、自宅の住所を出発地として、病院、特定の病気や妊娠中絶などの処置に関連する医師、矯正施設を目的地とするものも多い。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    マンガで解説、移行済みの担当者にも役立つ! Windows10移行&運用ガイド

  2. クラウドコンピューティング

    カギは物理世界とクラウドの接続あり!成果が出やすいIoT活用のアプローチを知る

  3. クラウドコンピューティング

    IoTにはこれだけのサイバー攻撃リスクが!まずはベストプラクティスの習得を

  4. セキュリティ

    エンドポイントの脅威対策をワンストップで提供 現場の負荷を軽減する運用サービス活用のススメ

  5. クラウドコンピューティング

    家庭向けIoT製品の普及とともに拡大するセキュリティとプライバシー問題─解決策を知ろう

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]