Google フォームの共同編集設定に起因して発生していた情報流出についてまとめてみた - piyolog
2024年6月以降、Google フォームの設定に起因する情報流出が生じたとして複数の組織より公表されました。ここでは関連する情報をまとめます。 回答情報を第三者に参照される恐れのあった共同編集設定 Google フォームの設定次第で外部から回答者の情報を閲覧することが可能な状態が発生し、実際に影響を受けたとして複数の組織が6月以降公表を行っている。 事案公表した組織が行っていた設定とは、Google フォームの「共同編集者の追加」において「リンクを知っている全員」が選択されている場合。 Googleのアカウントにログインした状態で当該設定が行われたGoogle フォームに回答を行った後、自身のGoogleアプリからGoogle フォームの画面を表示した際に、「最近使用したフォーム」の欄にそのGoogle フォームが表示されるようになっていた。そこよりGoogle フォームを通じて入力され
Googleフォームの設定ミスによる情報漏えいが多発~あなたのフォームは大丈夫? 原因となる設定について解説~ - ラック・セキュリティごった煮ブログ
デジタルペンテスト部の山崎です。 4月から「セキュリティ診断」の部署が「ペネトレーションテスト(ペンテスト)」の部署に吸収合併されまして、ペンテストのペの字も知らない私も晴れてペンテスターと名乗れる日がやってまいりました!(そんな日は来ていない😇) そんなわけで、新しい部署が開設しているブログのネタを探す日々を送っていたのですが、最近、Googleフォームの設定ミスによる情報漏えい事故が増えてきているようです。 どのような設定が問題となっているのでしょうか? 同じような事故を起こさないよう、設定項目について見ていきたいと思います。 情報漏えいの原因となりうるGoogleフォームの設定について Googleフォームから情報漏えいとなっている事例を見てみると、大きく分けて以下の2パターンのいずれかが原因となっているようです。 1.表示設定で「結果の概要を表示する」が有効に設定されている ある
Google従業員のミスで世界の防衛・情報機関の個人情報流出、日本も含む
Recorded Futureはこのほど、「Google exposes intelligence and defense employee names in VirusTotal leak」において、GoogleのマルウェアスキャンプラットフォームであるVirusTotalの従業員のミスにより世界中の防衛・情報機関に勤務する数百名の個人名および電子メールが誤って流出した可能性があることを伝えた。Googleの従業員が意図せずに顧客グループ管理者の電子メールおよび組織名の一部を誤ってVirusTotalに公開していたことが明らかとなった。 VirusTotalは疑いのあるURLや不審なファイルをアップロードしてマルウェアが含まれているかを調査できるよう提供されているGoogleのサービス。アップロードされたファイルはセキュリティコミュニティと共有され、マルウェアのシグネチャライブラリの作成
「Googleなんで上位表示させちゃうん?」ニコニコ大百科などの偽サイトが検索で上位に出てくるため公式が注意喚起
ニコニコ窓口担当 @nico_nico_talk 皆様とニコニコ運営を繋ぐ窓口です。頂いたリプライ・@ツイートは返信できないこともありますが、すべて拝読しています。 ※いいねさせていただくことがありますが、いただいたご要望の実現をお約束するものではありません。 有料サービス、視聴時の問題発生時はまずサポート窓口へ qa.nicovideo.jp/faq/show/76 qa.nicovideo.jp/faq/show/76 ニコニコ窓口担当 @nico_nico_talk 【注意喚起】 ニコニコ大百科やニコニ立体とページ内容がまったく同じ偽サイトの存在を確認しました。また、これらのサイトがGoogle検索等で上位に掲載されてしまっている場合があります。このようなサイトには絶対にアクセスしないでください。 blog.nicovideo.jp/niconews/15113… (1/5) pic
Googleドキュメントがフィッシングサイトとして利用される|ozuma5119 / Yusuke Osumi
この2,3週間ほど、私のメールボックスにほぼ毎日bitFlyerのフィッシングメールが届くようになりました。 私はサイバーセキュリティ分野での調査研究をしており、このような詐欺メールはさして珍しいことではありません。しかしこのフィッシングメールが誘導する先のフィッシングサイトは、あまり他に見ない特徴を持っています。そして今後の脅威となる可能性が高いと感じ、この文章を書きました。 フィッシングメール 届いたフィッシングメール自体は、よくあるタイプのものでした。不正なログインがあったからすぐ確認しなさい、と人を慌てさせてリンクをクリックさせる、一般的な手口です。 しかしこのリンク先が、2週間ほど前からGoogleドキュメントへのリンクとなったのです。 リンク先はGoogleドキュメント Googleドキュメントで作られたフィッシングサイトがこちらです。 見て分かるように、厳密にはこれはフィッシ
グーグルの認証アプリ「Authenticator」、ワンタイムパスワードが盗まれるおそれ
サイバーセキュリティ企業のThreatFabricは2月、「Google Authenticator」アプリで生成された2要素認証(2FA)コードを盗み出す機能を備える「Android」マルウェアを初めて発見した。 このマルウェアは以前に発見されていた「Cerberus」の亜種。これまで2FAのワンタイムパスワード(OTP)を窃取する機能は備えていなかった。 Cerberusはバンキング型トロイの木馬とリモートアクセス型トロイの木馬(RAT)のハイブリッドだ。Androidデバイスが感染すると、ハッカーはマルウェアのバンキング型トロイの木馬機能を利用して、モバイルバンキングアプリの認証情報を盗み出す。 Cerberusは、アカウントが2FA(つまりGoogle Authenticatorアプリ)で保護されている場合に、攻撃者がRAT機能を通じてユーザーのデバイスに手動で接続できるよう設計さ
2011年から2012年にiPhoneを使っていた人はGoogleから補償金として7万円もらえる可能性
By tenz1225 2011年6月から2012年2月にかけて、GoogleはiPhoneの標準ブラウザであるSafariで禁止されていた「ユーザーの行動履歴を追跡」するというプライバシー設定を迂回しており、イギリスの団体「You Owe Us」はこの件に関してGoogleに補償を求めるキャンペーン「Google You Owe Us」を立ち上げました。このキャンペーンではGoogleに対して27億ポンド(約4100億円)の補償を求めており、訴えが認められれば、過去にiPhoneを使っていた人を含む540万人のiPhoneユーザーは1人あたり500ポンド(約7万6000円)を受け取れる可能性があります。 iPhone owners could claim $672 each from Google for bypassing Safari privacy settings | 9to5M
空港詳細図、グーグル流出…内部メール「公開」 : IT&メディア : 読売新聞(YOMIURI ONLINE)
メールを共有できる米グーグルの無料サービス「グーグルグループ」で、中部国際空港(セントレア、愛知県常滑市)と新千歳空港(北海道千歳市)の設計図などが、インターネット上で誰でも閲覧できる状態になっていたことが10日分かった。 グーグル日本法人社員らが、業務で入手した空港会社の文書をやりとりする際に「一般公開」としていたことが原因で、同法人は陳謝し、国土交通省は「保安上極めて問題だ」と調査に乗り出した。 読売新聞の指摘を受け、設計図などは10日午後から非公開になっている。 グーグルの地図サービス「グーグルマップ」には、建物内にどんな施設があるかを示す「インドアグーグルマップ」がある。この更新時に情報を共有しようと、グーグル日本法人の社員らはグーグルグループを利用していた。しかし公開設定にしていたため、空港側の提供した設計図などを社員らがメールでやりとりする際、その内容がネット上で誰でも見られる
【警報】ここ数日でGmailの乗っ取りが半端ない件。2段階認証も突破の恐怖!!
朝起きて驚いた・・・!! 受信フォルダにGmailのアカウントを乗っ取られた方々からのスパム多数。「アカウント乗っ取られました。スパムを削除してください」とのメールも複数。Facebookでは自分もやられた、との報告とお詫びが並んでいる。 あわてて自分のアカウントをチェック どこから??ってここからです。Gmailのアカウントの「アカウントアクティビティ」 自分のは乗っ取られておりませんでした。一応安心。 実はGmailのアカウント乗っ取りは今に始まったわけではない。年初あたりにもいろいろなブログなどで警告が書かれていた。しかし実際にまとまって複数の乗っ取られたアカウントからのスパムが来たのははじめてです。一気に広まった?? メールヘッタを見るとGmailの送信サーバを使っているようだ。アドレス帳の全員に同報で同じメールを打ってます。 メールのタイトルは「FW:」「greetings」など
Googleが社内からWindows締め出し - Financial Times | パソコン | マイコミジャーナル
米Googleがセキュリティ上の懸念から社内で使用するWindowsの削減に乗り出した。英Financial Timesが複数のGoogle社員から得た情報として伝えている。 Googleは1月にInternet Explorerの脆弱性を悪用した中国からのGmailへの大規模攻撃を報告している。Financial Timesによると、この攻撃がきっかけとなってGoogle社内にWindows離れの動きが強まり、多くの社員がセキュリティ上の理由からMacに切り換えたという。また社内でのOS使用のポリシーも変更され、今年1月前半時点で新たに雇用した社員のデスクトップPCのOS選択肢がMacまたはLinuxに制限された。さらに現在はノートPCを含めてWindowsを選択できなくなった。新たにWindowsを導入する場合、シニアレベルからの承認が必要だという。 OSシェアで勝るWindowsは悪
グーグル 個人情報誤って収集 NHKニュース
グーグル 個人情報誤って収集 5月15日 21時19分 インターネット検索最大手のグーグルは、町並みの画像を表示する「ストリートビュー」の情報を収集する車両が、無線LANで発信された個人情報を誤って取得していたと発表し、謝罪しました。 「ストリートビュー」はグーグルが実際の町並みを撮影した画像を集めてインターネット上で公開しているもので、現在、日本を含むおよそ30の国と地域が対象となっています。グーグルはドイツ当局の指摘を受けて調査した結果、14日、画像の撮影や情報収集にあたる車両が取得した情報のなかに個人情報が含まれていたと発表しました。これについてグーグルは、無線LANの基地局などに関する情報を集めていた際、無線LANで発信された情報が誤って蓄積されたとして、個人情報を利用したことは一切ないと説明しています。また、個人情報を速やかに消すほか、車両を使った無線LANの基地局などの情報収集
中国からGoogleほか30社以上に攻撃:目的はソースコード | WIRED VISION
前の記事 「理想のAppleタブレット」が持つべき10の機能 「月との距離の3分の1」まで、小惑星が地球に接近 次の記事 中国からGoogleほか30社以上に攻撃:目的はソースコード 2010年1月14日 Kim Zetter 2006年4月、Google社のSchmidt CEOや、Google China社の社長らが、新しい中国語版Googleのブランド名「谷歌」(グゥガ)を発表した会場で撮影。「谷歌」の谷は簡体字で「穀」を意味し、谷歌には「種まき」=「期待」、「収穫」=「情報を得る喜び」という2つの意味が持たされているという。画像は別の英文記事より 米Google社は、中国からのハッカー攻撃を理由に同国でのビジネスを停止する可能性を発表したが、同社の他にも、金融機関や防衛関係の請負業者を含む米国の30社以上が攻撃され、ソースコードが狙われていたことがわかった。米iDefense社(米
高木浩光@自宅の日記 - やはり「元データは保管していない」は虚偽だった
■ やはり「元データは保管していない」は虚偽だった 今日の朝日新聞朝刊「b4」面に、Google Earthについて米Google, Inc.担当副社長がインタビューに答えた記事が出ているが、この中で、日本のストリートビューについての質問にも応じて、次のように答えている。 ストリートビューについても尋ねた。(略)日本では昨夏始まり、塀越しに自宅が撮影されるなどプライバシーを中心に問題になった。 「道幅の狭さ、塀の中の庭、街のつくりなど、日米の違いをよく認識していなかった。例えば米国の家に表札はない。日本の事情に合わせ、変えるべき点は変えていく」 人の顔にぼかしを入れ、ユーザーから削除を申請された写真は表示されない。こうした写真の元データをグーグルはどうしているのか。 「保存しています。地図の間違いやぼかし技術の点検のためで、一定期間後に消去することになるでしょう。問題のないものは原則として
グーグルカレンダー「流出」1500件…利用者誤って「公開」 : 社会 : YOMIURI ONLINE(読売新聞)
検索大手グーグルが運営するインターネット上でのスケジュール管理サービス「グーグルカレンダー」で、個人情報が誤って公開されてしまうケースが相次いでいる。 読売新聞で確認できただけで、九つのカレンダーで1500件以上のスケジュールが誰でも閲覧可能な状態になっていた。同社は今月上旬、こうした事実を利用者に説明しないまま、他人のスケジュールを検索できる機能を廃止したが、アドレスさえ入力すれば閲覧できる状態は今も続いている。 グーグルカレンダーは、ネット上でスケジュール管理できる無料サービスで、登録IDなどを打ち込めば、自宅のパソコンや出先の携帯電話でも自由に利用できる。データは自分のメモ代わりに使うばかりでなく、仲間同士でスケジュールを共有することもできる。 初期設定画面には「特定のユーザーと共有」と「公開」という項目がすぐ近くにあり、これらの項目にチェックを入れなければ複数の端末での利用や、仲間
GoogleカレンダーのHTMLソースに氏名とメールアドレス | スラド セキュリティ
ストーリー by hayakawa 2008年11月26日 12時16分 そもそもなんのために使ってるんだろう? 部門より Googleカレンダーをお使いの方、匿名のつもりでカレンダーを公開していませんか? メインのカレンダーでは、カレンダーIDがgoogleアカウントのメールアドレスとなるため、URL中にそのメールアドレスが入ります。サブのカレンダーを作るとランダムなカレンダーID({英数字26文字}@group.calendar.google.com)となり、URL中にはメールアドレスが含まれないため、これを匿名のつもりで公開している方も少なくないのではないでしょうか。 ところが、カレンダーのHTMLソースを見ると、ばっちり、登録した氏名とメールアドレスが埋め込まれているのです。バレると恥ずかしいカレンダーを公開している人は注意しましょう。 蛇足かもしれませんが、一応補足させていただき
高木浩光@自宅の日記 - Googleカレンダーでやってはいけないこと
■ Googleカレンダーでやってはいけないこと Googleカレンダーで公開前提ではないカレンダー(非公開を前提としたカレンダー)を作っている場合、以下の操作をしないよう注意する必要がある。 「設定」画面でカレンダーを選んだときに出てくる画面の「カレンダーの情報」タブのところの一番下に、「非公開URL:」という項目がある。そこには、「これはこのカレンダーの非公開 URL です。このカレンダーのすべての予定を他のユーザーに見せたい場合を除き、このアドレスを他のユーザーと共有しないでください。」という説明書きがあるが、何のことやらよくわからない。ここで、「XML」「ICAL」「HTML」と書かれた部分の「HTML」のところをクリックすると次の画面が出る。 ここで、表示されているURLのリンクをクリックしてはいけない。 マップとカレンダーでちぐはぐな設計 これがいったい何なのかは、「ヘルプ」に
高木浩光@自宅の日記 - 業務用途でGoogleマイマップを使ってはいけない
■ Googleマイマップで「限定公開」「非公開」設定にしても検索にヒットするシステム障害 Googleマップの「マイマップ」機能で、秘密にすべき情報を誤って登録してしまう事故が多発し、報道が続いているところであるが、ほとんどの報道で、「非公開設定にしていなかったのが原因」とされており、あたかも非公開設定に設定変更すれば大丈夫であるかのような印象を与えている。 生徒の情報、ネットで閲覧状態に 「グーグルマップ」, 共同通信, 2008年11月7日 「限定公開」ではなく初期設定の「一般公開」にしていたのが原因とみられる。(略)名古屋市教委も(略)、非公開の設定をしないままにしていたことを確認。 グーグル株式会社自身も、4日にGoogleマップのトップに掲載した「マイマップの公開設定をご確認ください」で次のように推奨している。 マイマップの公開設定をご確認ください, Google Japan
高木浩光@自宅の日記 - 緊急周知 Googleマイマップの削除で残骸が生じて消せなくなる欠陥, 残骸ではなく復活している模様(7日追記)
■ 緊急周知 Googleマイマップの削除で残骸が生じて消せなくなる欠陥 Googleマップの「マイマップ」機能で、秘密にしなければならない情報を利用者が誤って登録していた事故が立て続けに発覚しており、各地でマップ作成者の割り出しと作成者による削除の作業が行われているところと思われるが、Googleのシステムには不具合(バグ、欠陥)があり、削除不能に陥ってしまう場合が少なくない頻度で発生していることがわかった。削除作業を行う場合には注意が必要である。 背景 Googleマップは図1の構成になっている。図1は、「test_test」という文字列を含む地図を検索したときの様子で、検索結果の「A」をクリックしたときに、地図中の対応する位置に、当該登録地点の情報が「吹き出し」として表示されている様子を示している。登録地点にはテキストを書き込むことができるようになっており、ここでは「秘密の情報」と書
中日新聞:名古屋の病院、誤って患者情報公開 グーグルマップ利用ミス:社会(CHUNICHI Web)
トップ > 社会 > 速報ニュース一覧 > 記事 【社会】 名古屋の病院、誤って患者情報公開 グーグルマップ利用ミス 2008年11月5日 07時03分 名古屋市天白区の民間病院「並木病院」の患者らの個人情報が、今年8月ごろからインターネット上の無料地図サービス「グーグルマップ」で閲覧できる状態になっていたことが分かった。同病院は既に情報を削除、該当患者に謝罪するという。 同病院によると、閲覧可能だったのは、病院で人工透析を受ける患者と併設の介護老人保健施設でデイケアを利用する計約80人分の氏名と住所、電話番号など。 同病院は、住所や情報を入力すると目印を地図上に示せるグーグルマップの機能「マイマップ」を利用。患者の送迎ルートを決める際などに便利だからと使っていたが、個人情報が掲載されたこの地図が誰でも見られる状態だった。 マイマップは、店舗や施設の情報を共有することを前提にしたもので、不
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ホテルを予約しようとGoogleで「楽天トラベル」と検索して一番上のリンクをクリックしたら明らかに偽サイトだった
