2002年の5月から6月にかけて,企業のWebサイトに置かれた顧客情報が相次いで流出した。3年近く前の話ではあるが,当時は話題になったので覚えておいでの読者は多いだろう。IT Proでも関連記事を何本も掲載した。

Webサイトで個人情報漏えいが相次ぐ
Webサイトから個人情報流出(上)
Webサイトから個人情報流出(下)

 いずれのケースでも,顧客情報といった大事な情報を収めたファイルが公開用Webサーバーに置かれていた。しかも,ユーザー認証の仕組みは全く用意していなかった。HTTPのベーシック認証さえ施していなかった。セキュリティは「ファイルのURLを内緒にしておくこと」だけに依存していた。「そのURLは関係者にしか知らせず,トップ・ページからはたどれないようにしておく(リンクを張らないで置く)」ことで,アクセスを制御できると考えていたのだろう。

 しかし,Googleをはじめとするロボット型検索サイトは,そのようなページを簡単に見つけ出してしまう。例えば,個人情報を収めている可能性が高いファイルの拡張子(例えば,.csv)で検索すれば,そのようなファイルを見つけ出すことができた。

 そのほか,「Index of」をキーワードとして検索することも“流行”した。当時は,URLとしてディレクトリ名を指定すると,そのディレクトリ内のファイル一覧を表示する「ディレクトリ・リスティング」を有効にしたサイトが少なくなかった(現在では,ほとんどのWebサーバー・ソフトで,デフォルト値は無効になっているだろう)。そのファイル一覧には「Index of」の文字列が含まれるので,これとcsvを併せて指定すれば,大事なファイルを見つけ出せる可能性が高かったという。

 以上の話は,当時のセキュリティ関連セミナーでは,頻繁に“枕”として使われた。あるセミナーで,講師が「大事なファイルの探し方」を喜々として語ったあと,「でも,もう最近ではみんな気付いちゃって“面白い”ファイルは見つからないんですよ」と言ったのを覚えている。

 そのセミナーから戻った筆者は,試しに「Index of」で検索してみた。すると,多数のサイトがヒットしたものの,その講師が言ったように,危なそうなファイルは見当たらなかった。代わりに,予想外のサイトが多数ヒットしていた。アダルト・サイトである。アダルト・サイトのトップ・ページに,背景と同じ色で「Index of」という文字列が書かれた。

 当時(現在でも使われているだろうが),アダルト・サイトなどは,検索にヒットしやすくなるように,検索のキーワードに使われそうな文字列をユーザーには見えないようにページに埋め込んでいた。アダルト関連の文字列だけではなく,有名なタレントやプログラム名,事件の名称なども埋め込まれていた。その中に「Index of」も含まれていたのだ。それだけ,「Index of」で検索することが流行していた。

 さて,なぜ3年前の話を長々と書いているかというと,当時起きたような話を先日報じたからだ。

新潟大の成績情報流出,PDFファイルが検索サイトのキャッシュに

 恥ずかしながら,この話を筆者はテレビのニュースで知った。ニュースでは,「学生しか閲覧できないようにしていた成績情報が,なぜか勝手に検索サイトに“登録されて”しまった。なぜ登録されてしまったのか,大学側では原因を特定したいとしている」といったことが伝えられた。

 筆者は思った。「公開用Webサーバーに置いておいたからでしょう。以上」。そして,前述の3年前の話を思い出したのである。今回の話は,3年前の話と全く同じで,以下のようなことだろうと考えた。