検索
ニュース

論文サイト「arXiv」、投稿の約9割で非公開情報が“丸見え状態”か パスワードや秘密鍵、自宅のGPS座標なども 270万件を調査Innovative Tech

ドイツのアーヘン工科大学に所属する研究者らが発表した論文「Hidden Secrets in the arXiv: Discovering, Analyzing, and Preventing Unintentional Information Disclosure in Source Files of Scientific Preprints」は、査読前論文を公開するWebサイト「arXiv」に投稿された論文から個人情報や機密情報、意図しない情報が漏えいしていることを明らかにした研究報告だ。

Share
Tweet
LINE
Hatena

Innovative Tech:

2019年にスタートした本連載「Innovative Tech」は、世界中の幅広い分野から最先端の研究論文を独自視点で厳選、解説する。執筆は研究論文メディア「Seamless」(シームレス)を主宰し、日課として数多くの論文に目を通す山下氏が担当。イラストや漫画は、同メディア所属のアーティスト・おね氏が手掛けている。X:@shiropen2

 ドイツのアーヘン工科大学に所属する研究者らが発表した論文「Hidden Secrets in the arXiv: Discovering, Analyzing, and Preventing Unintentional Information Disclosure in Source Files of Scientific Preprints」は、査読前論文を公開するWebサイト「arXiv」(アーカイブ)に投稿された論文から個人情報や機密情報、意図しない情報が漏えいしているとする研究報告だ。

 研究チームが1991年から25年末までに投稿された270万件の論文を分析した結果、全体の88%に当たる論文に著者が意図していない隠れた情報が含まれていたという。

 arXivでは、文書作成システム「LaTeX」で論文を書いた場合、元のLaTeXソースファイルをアップロードする決まりになっており、PDFと一緒にソースファイルも一緒に公開される(投稿の約93%がLaTeXで書かれている)。

 LaTeXはプログラミングのように文字のコードを打ち込んで文書を作成するため、PDFには表示されない自分たち用のメモやコメントをソースファイル内に残すことができる。

photo
LaTeXソースに残されたコメントや不要ファイルはPDFには表示されないが、arXiv上ではソースファイルとして誰でも閲覧可能
photo
arXivへの年間投稿数(青)とソースファイル付き投稿数(オレンジ)の推移

 これらのソースファイルを調査したところ、さまざまな情報が含まれていた。共同研究者間の議論や、本文では触れられていない論文の弱点を記したメモ、恥ずかしい下品な言葉まで残されていた。加えて、メールアドレスやパスワード、APIトークン、秘密鍵といった機密情報も発見されたという。

 さらには、画像に埋め込まれたGPS情報から研究施設と住居地の両方が読み取れ、研究者の行動を追跡できてしまうケースや、アクセス制限のかかっていない内部用GoogleドキュメントのURLから、未公開の査読内容や被験者の調査データが誰でも閲覧できる状態になっていた。皮肉なことにセキュリティ分野の論文の方が情報が多く含まれていた。

photo
1投稿あたりの非公開情報の件数分布。コメント(緑)が特に多く、1万件を超える投稿も存在
photo
非公開情報を含む投稿の割合は年々増加しており、皮肉にもセキュリティ分野の論文が他分野より多く含んでいる

 研究チームが著者にアンケートを実施した結果、ソースファイルが公開されることを知っていたのは全体の約4割に過ぎなかった。arXiv側は、機密情報が含まれていないか確認するのは著者の責任としており、投稿前に専用のクリーンアップツール(Googleの「arxiv_latex_cleaner」など)を使って不要なデータやコメントを自動で取り除くことを推奨している。

 この事態に対処するため、研究チームは新たなツール「ALC-NG」を独自に開発し、オープンソースとして無償公開した。このツールは、ファイルの構造を正確に解析する技術を組み合わせることで、論文の見た目をできるだけ変えることなく、見えてはいけないコメントや不要な隠しファイルを既存ツールより高い精度で除去できるという。

Source and Image Credits: Pennekamp, Jan, et al. “Hidden Secrets in the arXiv: Discovering, Analyzing, and Preventing Unintentional Information Disclosure in Source Files of Scientific Preprints.” 2026 IEEE Symposium on Security and Privacy (SP). IEEE, 2026.


Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る