スタッフブログ

Blog

HOME > Blog > Googleスプレッドシートで情報が漏れる?

Googleスプレッドシートで情報が漏れる?

2018-01-09 | ご注意ください

最近はGoogleドライブやドロップボックスなど、クラウドサービスを使うことが多いです。

何が便利かと聞かれたら、やはりファイルや表計算等の共有、共同作業じゃないかと思います。

ホームページの制作現場においても、クラウドサービスは欠かせないですね。

 

但し、このクラウドサービスも設定をしっかり確認しておかないと、大事な社外秘ファイル等を外部に垂れ流しにしてしまうので、今一度キチンと見直しましょう。

 

 

Googleの共有設定は3種類

 

1.オン:ウェブ上で一般公開(検索エンジンに載る)

2.オン:リンクを知っている全員(検索エンジンに載らない)

3.オフ:特定のユーザー(指名した人のみ)

 

とありますが、このオンとかオフという言い方が紛らわしくて、ミスする人も多いようです。

 

ズバリ!社外秘なら「3:特定のユーザー」のみです。

 

一番怖いのが「2:リンクを知っている全員」の設定で、

知っている人にしかリンクを教えないから非公開っぽく思いがちですね。

ところが、人為的な漏洩は別として、教えていないのにリンクがバレることがあるんです。

 

これは以前から何度も話題になっていました。

>Googleドライブで第三者にデータ流出のセキュリティホールが発覚、対処法も(2014/07)

ニュースを読む限り「Googleドライブでリファラーが漏れる」というセキュリティホールは改修されたはずです。

 

ところが昨日、スプレッドシートからリファラーが漏れてるのを見つけたので、軽くまとめました。

業務が忙しい中駆け足で書いてるので、読みにくくてすみません!

 

スプレッドシートのURLが漏れる流れ

検証用にGooglesスプレッドシートを用意しました。

>リンクテスト

(リンクは安全確認済みです。共有は「知っている人のみ」になっています。)

 

クリックすると以下の画面が出ます。

 

 

当社へのリンクが貼ってあります。

これをクリック(リクエスト)すると、当然ながらウチのトップページが開きます。

 

WEBではページを移る際に、裏では様々な情報をぶら下げて次のページにアクセスします。

その一つがリファラー(現在のURL)です。

つまり上記の場合、このスプレッドシートのアドレスをぶら下げてウチへ飛んでくることになります。

 

そして、アクセス解析がそのリファラーを記録し、どこからやってきたのか確認できるようになります。

 

 

この「https://docs.google.com/spreadsheets/d/1i1Gkr3F・・・」を開くと、先程のページが開いてしまうわけです。これがニュースにもなった「教えていない人にリンクが漏れる原因」です。

共有設定は「リンクを知っている全員」になっていますから、「誰でも」見られることになります。

 

社外秘なら一発アウト!ですね。

 

 

ん?セキュリティホールは修正されたはず

ただ、先程のニュースにもあるように、こちらは2014年に修正されたはずなんです。

 

試しにIEやFireFox、Edgeで、リンクをクリックすると

 

 

とリダイレクトページ出て、別ページを経由させてリファラーが流れない(または別のURLをくっつける)ようになっています。

 

IE FireFox Edge Chromeの4つで試した結果

 

GoogleChrome最新版で漏れるのを確認しました。

 

■確認できた条件

・Googleクローム(バージョン: 63.0.3239:今日時点の最新 Win/Mac)

・Googleスプレットシートからのhttpsリンク

 

※Googleドキュメント、スライド、アップされたPDFからのリンクはリファラー無し。

※IE FireFox Edgeはどれもリファラー無し又はリダイレクトページ。

※iPhone(Safari・Chrome)もリファラー無し。

※ついでにドロップボックスもチェックしましたが、リファラー無しでした。

 

なぜなんでしょう?

 

ググってみましたが、それらしい情報は見つかりませんでした。

ボクの調べ方が悪いのかな?

 

一応、Googleに報告しておきました。

 

 

2018-03-29:追記
本日 Win10 GoogleChromeで試したら漏れなくなっていました
バージョン: 65.0.3325.181
仕様変更したんでしょうか?

 

 

よかったら試してみてください。

上記スプレッドシートからのウチにアクセスした際に、リファラーがあれば以下のようにアラートを出すようにしました。

 

 

他にこういう条件で出たよ!

という情報があればぜひお知らせ下さい。

 

最後に

あれこれ書きましたが、現実にリファラーが漏れているのが確認できた以上、やはりリスクはリスクです。それに、リファラーじゃなくとも内部の人間がURL漏らしたらそれでアウトなので、社外秘扱いは「オフ-特定のユーザー」にしましょう。

 

2018-01-10:追記

私の家のPC(win7)、検証用のノートPC(Win10)でもクロームのみが漏れる現象が起きました。

今朝Macでも確認したところ、なぜかクロームは問題なく、FireFox(57)で漏れました。

 

2018-03-29:追記

本日 Win10 GoogleChromeで試したら漏れなくなっていました

仕様変更したんでしょうか?

 

 



ページトップ