ITmedia NEWS > 社会とIT >
SaaS セレクト with ITreview

名刺SNS「Eight」で情報機関員などの本名が閲覧できる状態に 非公開にする方法は

» 2020年08月12日 12時00分 公開
[井上輝一ITmedia]

 「警視庁公安部や組織犯罪対策課、公安調査庁などに所属する職員の所属と本名が公開されている」──セキュリティリサーチャーのSttyK(@SttyK)さんが、7月中旬にこんな注意喚起をTwitterに投稿した。治安や防衛、情報収集活動に関わる人物の中でも、Sansanの名刺SNS「Eight」を利用している人の一部の所属と本名がGoogle検索で誰でも見られる状態だった。

 例えば、Google検索で検索先のWebサイトをEightに絞り込んだ上で「警視庁」などを検索ワードに指定すると、EightユーザーでなくてもEightを利用する警視庁職員の所属と本名が閲覧できた(現在は閲覧できないよう変更済み)。

 SttyKさんは「こうした本来“目立つ”べきでない人たちの本名が外部から参照できる状態は危険。この情報から外部サービスのアカウント復旧機能などを通じて当人のメールアドレスを入手できる可能性があり、それが分かれば標的型攻撃も可能だ」と警鐘を鳴らす。「収集した情報から組織の構成図も作れるかもしれない。その中の家族の情報までたどり着かれてしまうと家族に危害が及ぶ恐れもある」(同)。

 Eightを運営するSansanはこのような公開設定になっていたことについて「所属や本名は公開される仕様ではあるものの、外部に公開しないよう設定することはできる」と話す。

「プロフィールURLを非公開」で対策可能 noindex化も実行済み

 「仕様上、アカウントがある限りは所属と本名を全く公開しない設定にはできない。しかし、『プロフィールURLの公開設定』でEightユーザー以外がアクセスできないようにすることはできる」(Sansan)

 ユーザー自身のプロフィールページの『基本情報』内には、「https://8card.net/p/(数字列)」というURLが記載されている。この項目にマウスカーソルを合わせ、右に現れたアイコンをクリックすると「一般公開」もしくは「非公開」に設定が可能だ。

自分自身のプロフィールページで「プロフィールURLの公開設定」を変更できる

 現在はSansanがすでに全ユーザーのプロフィールページにnoindexを指定したため、検索エンジンにプロフィールページが現れることはないが、今回問題とされた人々はURL自体も非公開に設定しておくのがより安全だろう。

 所属や本名自体を非公開にできないことについては「Eightは名刺情報を人脈の構築に役立ててほしいという思いで作ったサービスで、悪意を持って個人情報を探すことは想定していない」と同社は説明する。

 「しかし世の中にはそういうことをする人はゼロではない。もしEightを利用する上で、不正行為などで困ったことがあれば迷わずサポートに報告してほしい」(同)

 ただ、これらの設定を行ってもEightユーザーからの検索を避けることはできない。それも避けるにはサービスを退会する他ない。

 ビジネスでは一般的に行われる名刺交換だが、その情報をWeb上に公開するのは注意が必要といえる。コロナ禍でオンラインでの名刺交換が注目される昨今、自分自身のプロフィールをどこまで公開していいものなのか、リスクと利便性を天びんに掛けてサービスの利用を判断するべきだろう。

Copyright © ITmedia, Inc. All Rights Reserved.