非公開設定に大バグが!アレなGoogleマップが大量晒され中
続報:Googleマイマップの「非公開」表記が変更された :教えて君.net
その後11/4の夜に、Googleマップは問題の表記を変更した。
11月2日に朝日新聞が「グーグルマップ「公開」に注意 意図せず個人情報掲載」という記事を掲載した。Googleマップの「マイマップ(住所で地図を検索し、目印やコメントなどを付加して保存する機能)」はデフォルトが「公開」となっているため、個人情報満載な地図を作った場合に設定変更(非公開化)を行わないと酷いことになる……という問題だ。早速2ちゃんねるでもアレな公開マイマップが多数発掘されている……のだが、問題の根はもう少し深い。「非公開」設定を行っているのに、誰からでも閲覧可能なマイマップ……というものが発見されているのだ。
原因は、「非公開設定を行ったマイマップ」が一切のセッション情報を要求していないこと。どういう事かというと、
- 「公開」でも「非公開」でも、あるマイマップは、そのマイマップ固有の、時間と共に変わらないURLを持っている
- そのURLにアクセスした場合、「そのマイマップを閲覧する権限があるユーザー(作成者/共同編集者)としてGoogleマップウェブサービスにログインしているか」といったチェックが行われることなく、無条件でマイマップが表示される
という事であり、つまり、非公開設定を行ったマイマップであっても、特定のURLを開けば、誰にでも閲覧可能なのだ(非公開マップURLの例)。「非公開」設定のマップは、「Googleマップ」というウェブサービス上での検索等では検索結果として表示されないのだが、偶然でも何でも、一度でも他人にURLが漏れたらアウトだ。この仕様は致命的なので、現時点で可能な対策は「非公開設定には大きな穴があるので、とにかくプライベートなマイマップは即消す」ということだけだ。
正直言って、これは仮にもアカウント制のウェブサービスとして致命的な問題だ。通常、こうしたプライベートな、時間と共に変わらないURLは、「その情報を閲覧する権限があるアカウントでログインしているか」といったチェックを行っている。そうしたチェックを一切行っていない……という今回の件は、ストリートビューのプライバシー問題やAmazonウィッシュリスト問題(asahi.comの元記事で触れられている)とは質が違う。Googleが「バグではなく仕様ですが不評なようなので仕様を変えます」的なアナウンスを行うのを待つしかない。
追記:
これが「問題」である理由の一つは、「自分で普通にマイマップを編集/閲覧する場合に上記固有URLを開いている」ということだ。Googleカレンダーにも同様の問題があるが、Googleカレンダーは通常こうしたアドレスで利用するため、「わざわざ」固有URLにアクセスしない限り、固有URLは「誰からもアクセスされないURL」となっている。固有URLを使う時に「このURLは~」と明確に表示されるのも、「現実的に」重要なポイントだろう。
そもそも、「URL」というのは、あまり機密性の高い情報ではない。自分がアクセスしたURLが、リファラー(「アクセス元ページ」)として無関係なサーバーに漏れる場合もあるし、「自分がアクセスしたURL」というものを無意識的に様々なサービス(具体名を挙げないと伝わりにくいかもしれないが……)に渡している人/機会もある。
Googleマップの右上「プロフィール」からマイマップを開き、「編集」をクリックしてから「プライベート設定」を「非公開」にして保存すれば良い、はずなのだが……。
未ログイン状態でも、特定のURL(非公開マップURLの例)を開くことで「マイマップ」を開くことができてしまう。
参考
asahi.com(朝日新聞社):グーグルマップ「公開」に注意 意図せず個人情報掲載 - ネット・ウイルス - デジタル
今回の騒動の発端となった記事。実際に晒されているマイマップは、興味のある人のみ適当な手段で探して下さい。
非公開マイマップの例
Googleマップユーザー別ページの例
作成者プロフィールページの例。このページ等では、非公開マイマップは表示されない(そのユーザーが作った公開マイマップのみが表示されている)。逆に言うと、Googleマイマップの「公開」「非公開」という設定には、「そのマイマップを、こうしたページに表示させるか否か」の意味しかないのだ。
執筆:tokix (tokix.net)