画面共有時にセンシティブな情報を意図せず公開してしまう事例の調査/sharing_screen_and_confidential_data

画面共有時にセンシティブな情報を
意図せず公開してしまう事例の調査
第５回初心者のためのセキュリティ勉強会（オンライン開催）
meow (id: meow_noisy)
2021/03/24(水)

View Slide

背景
 オンラインでプレゼンする機会が増えた
 ビジネス、ウェビナー、勉強会など
 画面共有機能を使って資料を見せる
 他人には伏せておきたいような情報を晒すリスクがあるのでは?
 →画面共有時にどのような情報をどのようにして
うっかり見せてしまうケースがあるかを調べてみた

View Slide

一瞬しか映らないから平気?
 聴講者はキャプチャしているという想定
 情報が1フレームでも映り込むとアウトと見なす
 キャプチャツールはインストール不要。即起動可能。
 windows
 Win + Alt + r
 mac
 shift + command + 5

View Slide

断片情報しかわからないから平気?
 ユーザidやメールアドレスから
芋づる式に個人情報を
手繰り寄せられる可能性がある
https://hackershala.com/osint-workflow-charts-inteltechniques/

View Slide

調べた検索ワード
 "screen sharing" AND (risk OR blunder OR confidential)
 zoom "data breach"
 ヒットした記事の内容をまとめた
 スライド末尾の参考文献を参照
 個人の体験も一部含む
 → 扱っている記事数は少ない
 ビジネスにおけるzoomの使用心得が多かった

View Slide

注意すべき場所まとめ
 デスクトップの状況
 通知のポップアップ
 Webブラウザ
 発表とは無関係のバックグラウンドのアプリ
 キー入力
 個人的に気になったので項目に追加

View Slide

デスクトップの状況
 置いているファイル
 アプリのショートカット
 タスクバーのピン留め

View Slide

通知のポップアップ
 画面に突然現れる可能性
 チャットツール
 slack, teams,…
 メーラー
 SNSなど
 LINE,…
私はプレゼン中に、steamフレンドが
ゲーム開始した時の通知が出たことがあります

View Slide

Webブラウザ
 ブラウザのログイン中のユーザ
 サービスログイン中のアカウント情報
 氏名、非公開のユーザid、メールアドレス
 youtubeを開いた時のサジェストなど
 発表とは無関係なタブ
 Facebookのプロフィール
 検索ワードの入力中
 閲覧履歴補完
 物件検索サイトの履歴
 検索ワード履歴補完
 ユーザ認証時の補完
 認証時のメールアドレスを自動入力される、など
 ブックマーク
 会社労組へのリンクとか
一部は、シークレットモードでも表示されるので注意
自分の顔写真を登録していないか
本名が出るサイトもある

View Slide

開いたままの無関係なアプリ、ドキュメント
何かの拍子(プレビューなど)に表示するリスク
 ファイルシステム(エクスプローラー、Finder,など)
 最近開いたファイル
 作業中のwordファイル
 作業内容
 Office系は右上にユーザ名やメアドが表示される
 メーラー
 宛名の本名
 非公開のメールアドレスが判明する可能性
 (macのメーラーは発表画面に割り込んで表示してくるので怖い)
 付箋ツール
 チャットツール
 ステークホルダーとの打ち合わせ内容
 リモートワークツール(の設定画面)
https://dekiru.net/article/19554/

View Slide

キー入力
議事メモを共有しながら取っている時とかに晒しやすい
 IMEのサジェスト
 取引先と思われるもの
 自分の名前やメールアドレスがすぐ出やすいように辞書登録してい
る、など。
 クリップボードの履歴機能
 オンになっていると、Win + v で履歴が表示される
 何らかの作業内容が含まれているリスク

View Slide

[備考] zoomg
 Zoomの仮想背景適用映像から、部屋を復元するツール
 製作者: Ryusei Ishikawa, Satoki Tsuji
 https://github.com/Tsuku43/zoomg
画像: https://github.com/Tsuku43/zoomg/blob/master/avtokyo/%5Bja%5D%20slide-AVTOKYO2020.pdf

View Slide

[備考] xeuledoc
 公開されているGoogle系のドキュメントの共有URLから
オーナーの情報を引っこ抜くpythonパッケージ
 https://github.com/Malfrats/xeuledoc
 共有URLから本名やメアドがバレるリスクがある
 仕組みはあまりわかっていないが、ドキュメントURL末尾の文字数が
44の状態だと、引っこ抜ける状態の模様(次頁)
 発表資料の共有はアップローダを介したほうが無難
図はgithubのもの
Googleスライドで資料共有している方向け

View Slide

[備考] xeuledoc再調査
 リンク共有方法がファイル自体へのリンクで、参照範囲が
「リンクを知っている全員」だと抜ける
 ファイル > “ウェブに公開”の方のリンクだと抜けなかった
アウト
セーフ

View Slide

情報の意図しない公開をしないために
 プレゼンツールだけ画面共有する
 ただし、別の補足資料を開いたり、議事メモを共有するために、
画面全体の共有に切り替えたくなりやすいので注意
 プレゼンツール自体の余計なタブや、閲覧履歴の表示にも注意
 通知は切っておく
 不要なアプリは落としておく
 発表が終わったら画面共有を即座に切る
 ブラウザのタブもなるべく閉じておく
 ブラウザを見せる必要があるならば最低限シークレットモード
で
 それでも、過去のサイト巡回履歴などは表示されるので注意
 発表用ユーザアカウントを作っておく
無関係なタブがあるかも
(さいたま市の書類)

View Slide

まとめ
 リモート発表時において、意図せず情報公開してしまう
事例を発表した
 ヒヤリハット案件だと思うので「こういう事例あるよ」と
いう方がいらっしゃいましたら、共有いただけますと幸い
です

View Slide

参考文献
1. 6 Screen Sharing Blunders and How to Avoid Them | Glance Networks
 https://ww2.glance.net/2016/08/6-corporate-screen-sharing-blunders/
2. A Simple Checklist to Avoid Screen Sharing Blunders
 https://blog.flock.com/screen-sharing-checklist
3. A Simple Checklist to Avoid Screen Sharing Blunders
 https://blog.flock.com/screen-sharing-checklist
4. Screen Sharing Tips and Best Practices for Remote Teams | Sprout Social
 https://sproutsocial.com/insights/screen-sharing/
5. How to Screen Share: 7 Remote Screen Sharing Dos & Don'ts | Poly Blog
 (魚拓)
https://web.archive.org/web/20200517203341/https://blogs.poly.com/remote-
screen-sharing-tips

View Slide

発表後のQ＆A
 仮想環境を用意して発表してもよいか?
 → よいと思うが、ホストの画面が表示されないように気をつける
 その他の注意項目
 ユーザ名に本名が含まれていないか
 仮想環境上のchromeにログインしていないか
ご質問いただきありがとうございました。

View Slide

ご清聴ありがとうございました

View Slide

画面共有時にセンシティブな情報を意図せず公開してしまう事例の調査/sharing_screen_and_confidential_data

画面共有時にセンシティブな情報を意図せず公開してしまう事例の調査/sharing_screen_and_confidential_data

meow

More Decks by meow

Other Decks in Technology

Featured

Transcript