あなたは大丈夫?オンラインストレージのダウンロードページURLが情報漏洩した件

2016/07/19

オンラインストレージサービスfirestorage

自分が使っているオンラインストレージサービスは大丈夫なんかな、、と心配になって調べてみました。

こんにちわ。ぶんちょうです。

あなたは大丈夫?オンラインストレージのダウンロードページURLが情報漏洩した件

概要

2014年4月25日、Yahoo!は広告主向けの広告配信先レポートにおいて、オンラインストレージサービスのダウンロードページURLが確認できた事象について発表した。オンラインストレージサービス「firestorage」「sharedfile.jp」が対象。

一言でいうとどういうこと?

特定のオンラインストレージサービスに置いたファイルが、第三者からでもダウンロード可能な状態になっていた。

そもそもオンラインストレージサービスとは、使い方が大きく二つあります。まず一つ目は自分のデータをバックアップしたり、複数のパソコンでデータ共有することでどのパソコンからでも作業を実現しようというもの。もう一つはメールで添付できないような大きなデータを相手に送るときに、いったんデータをストレージサービスに預けて、そのデータのダウンロードリンクを相手に伝えてダウンロードしてもらうものです。今回のお話は後者の方で問題がおきました。

ちなみに前者と後者の両方ができるもので代表的なのが「Dropbox」で、後者だけできるもので代表的なのが「宅ファイル便」です。

発生の流れ(想像成分も含有)

ユーザ登録をせず、ゲスト状態でオンラインストレージサービス「firestorage」「sharedfile.jp」を使う。

(ユーザ登録無しでも利用できるが、その場合はシステム上でのセキュア機能は特にない仕様だったらしい)

↓↓↓
ダウンロード用URLをメールで誰かに送る。

↓↓↓
受信者がURLをクリックしてダウンロードページを開く。

↓↓↓
そのダウンロードページにはヤフーの広告配信サービス「Yahoo!アドネットワーク(YDN)」が掲載されている。

↓↓↓
YDNは「このURLからおたくの広告が見られたお(流入してきたお)」と広告主に報告する。

↓↓↓
広告主がYDNからのURL一覧を開いてみると・・・ダウンロードページでダウンロードできちゃう!

↓↓↓
むふふ。

なぜこんなことが起きたのか

Yahoo!ディスプレイアドネットワーク(YDN)広告にて、プレイスメントターゲティング機能を追加したそうです。

簡単に言うと、広告主はネット広告について効果測定をしたいので、どこのURLから飛んできて自分の広告が見られたかを知りたい。
で、YDNもそういった広告主の希望を知っていて情報提供した(と思われる)。その情報の中には非公開のはずのダウンロードリンクが含まれていた、ということです。

 

どうやったら避けられたのか

ダウンロードURLとは別にIDパスワード認証が必要である。
これが普通だと思いますが。

ダウンロードファイル自体が暗号化されていて、解凍にはパスワードが必要である。
これはファイル名で推測されちゃイヤだって人にはダメですな。

ダウンロードURLがワンタイム式(毎回変わる)である。
良さそうですが切り替わる前に見られたりしたらダメですな。他の方法と組み合わせないと。

オンラインストレージなんざ使わない。
微妙。。。便利だし。

 

まとめ

URLが第三者に渡っただけで事故るサービスなんて、脆弱性とか以前の問題ですな。
無料のオンラインサービスが増えてますが、無料なりのリスクも当然あるわけで。
少なくとも無料のオンラインストレージを使うときはファイルを暗号化しないといけませんね。

データ

http://headlines.yahoo.co.jp/hl?a=20140425-00000028-rbb-sci【リンク切れ】
http://firestorage.jp/

-WEB関連