世界のセキュリティ関連ベンダーのブログから、押さえておきたい話題を紹介する。今回は、米グーグルの「Google Drive」に関する話題から。スロバキアのイーセットが企業ユーザーに対し、情報漏洩のリスクがあると警告している。
具体的には、Google Driveを介して共有された一部ファイルが、意図しない相手にも閲覧可能になっていた。グーグルは最近、法人のGoogle Drive導入を促進するためにビジネスニーズに対応した機能を追加したが、Google Driveは以前から多くの企業で使用されている。
グーグルは問題の脆弱性を修正するパッチをすでにリリースし、どのようなファイルが影響を受けるか説明している。該当するファイルは、別のプログラムで作成され、Google Driveのフォーマットに変換せずにアップロードされ、共有設定が「リンクを知っている全員」になっており、さらに、外部のHTTPSサイトへのリンクが含まれているものだという。
ファイルが上記の条件をすべて満たしている場合、本来は閲覧権限のない外部HTTPSサイトの管理者が、認証をすり抜けて非公開データにアクセスできてしまう。
Googleがパッチをリリースしたため、今後Google Driveで共有されるドキュメントがこの不具合の影響を受けることはない。しかし、以前からDriveで共有されているドキュメントにはこのパッチは効かない。Google Driveで共有済みのファイルで、影響を受ける条件すべてに当てはまる場合は、ドキュメントのコピーを作成し、新たに共有リンクを生成して共有したい相手に知らせ、元のファイルを削除する必要がある。
