画面共有時にセンシティブな情報を意図せず公開してしまう事例の調査/sharing_screen_and_confidential_data

Transcript

1. 画面共有時にセンシティブな情報を 意図せず公開してしまう事例の調査 第５回 初心者のためのセキュリティ勉強会（オンライン開催） meow (id: meow_noisy) 2021/03/24(水)

2. 背景  オンラインでプレゼンする機会が増えた  ビジネス、ウェビナー、勉強会など  画面共有機能を使って資料を見せる  他人には伏せておきたいような情報を晒すリスクがあるのでは? 

   →画面共有時にどのような情報をどのようにして うっかり見せてしまうケースがあるかを調べてみた

3. 一瞬しか映らないから平気?  聴講者はキャプチャしているという想定  情報が1フレームでも映り込むとアウトと見なす  キャプチャツールはインストール不要。即起動可能。  windows 

   Win + Alt + r  mac  shift + command + 5

4. 断片情報しかわからないから平気?  ユーザidやメールアドレスから 芋づる式に個人情報を 手繰り寄せられる可能性がある https://hackershala.com/osint-workflow-charts-inteltechniques/

5. 調べた検索ワード  "screen sharing" AND (risk OR blunder OR confidential)

    zoom "data breach"  ヒットした記事の内容をまとめた  スライド末尾の参考文献を参照  個人の体験も一部含む  → 扱っている記事数は少ない  ビジネスにおけるzoomの使用心得が多かった

6. 注意すべき場所まとめ  デスクトップの状況  通知のポップアップ  Webブラウザ  発表とは無関係のバックグラウンドのアプリ 

   キー入力  個人的に気になったので項目に追加

7. デスクトップの状況  置いているファイル  アプリのショートカット  タスクバーのピン留め

8. 通知のポップアップ  画面に突然現れる可能性  チャットツール  slack, teams,…  メーラー

    SNSなど  LINE,… 私はプレゼン中に、steamフレンドが ゲーム開始した時の通知が出たことがあります

9. Webブラウザ  ブラウザのログイン中のユーザ  サービスログイン中のアカウント情報  氏名、非公開のユーザid、メールアドレス  youtubeを開いた時のサジェストなど 

   発表とは無関係なタブ  Facebookのプロフィール  検索ワードの入力中  閲覧履歴補完  物件検索サイトの履歴  検索ワード履歴補完  ユーザ認証時の補完  認証時のメールアドレスを自動入力される、など  ブックマーク  会社労組へのリンクとか 一部は、シークレットモードでも表示されるので注意 自分の顔写真を登録していないか 本名が出るサイトもある

10. 開いたままの無関係なアプリ、ドキュメント 何かの拍子(プレビューなど)に表示するリスク  ファイルシステム(エクスプローラー、Finder,など)  最近開いたファイル  作業中のwordファイル  作業内容

     Office系は右上にユーザ名やメアドが表示される  メーラー  宛名の本名  非公開のメールアドレスが判明する可能性  (macのメーラーは発表画面に割り込んで表示してくるので怖い)  付箋ツール  チャットツール  ステークホルダーとの打ち合わせ内容  リモートワークツール(の設定画面) https://dekiru.net/article/19554/

11. キー入力 議事メモを共有しながら取っている時とかに晒しやすい  IMEのサジェスト  取引先と思われるもの  自分の名前やメールアドレスがすぐ出やすいように辞書登録してい る、など。 

    クリップボードの履歴機能  オンになっていると、Win + v で履歴が表示される  何らかの作業内容が含まれているリスク

12. [備考] zoomg  Zoomの仮想背景適用映像から、部屋を復元するツール  製作者: Ryusei Ishikawa, Satoki Tsuji

     https://github.com/Tsuku43/zoomg 画像: https://github.com/Tsuku43/zoomg/blob/master/avtokyo/%5Bja%5D%20slide-AVTOKYO2020.pdf

13. [備考] xeuledoc  公開されているGoogle系のドキュメントの共有URLから オーナーの情報を引っこ抜くpythonパッケージ  https://github.com/Malfrats/xeuledoc  共有URLから本名やメアドがバレるリスクがある 

    仕組みはあまりわかっていないが、ドキュメントURL末尾の文字数が 44の状態だと、引っこ抜ける状態の模様(次頁)  発表資料の共有はアップローダを介したほうが無難 図はgithubのもの Googleスライドで資料共有している方向け

14. [備考] xeuledoc再調査  リンク共有方法がファイル自体へのリンクで、参照範囲が 「リンクを知っている全員」だと抜ける  ファイル > “ウェブに公開”の方のリンクだと抜けなかった アウト

    セーフ

15. 情報の意図しない公開をしないために  プレゼンツールだけ画面共有する  ただし、別の補足資料を開いたり、議事メモを共有するために、 画面全体の共有に切り替えたくなりやすいので注意  プレゼンツール自体の余計なタブや、閲覧履歴の表示にも注意  通知は切っておく

     不要なアプリは落としておく  発表が終わったら画面共有を即座に切る  ブラウザのタブもなるべく閉じておく  ブラウザを見せる必要があるならば最低限シークレットモード で  それでも、過去のサイト巡回履歴などは表示されるので注意  発表用ユーザアカウントを作っておく 無関係なタブがあるかも (さいたま市の書類)

16. まとめ  リモート発表時において、意図せず情報公開してしまう 事例を発表した  ヒヤリハット案件だと思うので「こういう事例あるよ」と いう方がいらっしゃいましたら、共有いただけますと幸い です

17. 参考文献 1. 6 Screen Sharing Blunders and How to Avoid

    Them | Glance Networks  https://ww2.glance.net/2016/08/6-corporate-screen-sharing-blunders/ 2. A Simple Checklist to Avoid Screen Sharing Blunders  https://blog.flock.com/screen-sharing-checklist 3. A Simple Checklist to Avoid Screen Sharing Blunders  https://blog.flock.com/screen-sharing-checklist 4. Screen Sharing Tips and Best Practices for Remote Teams | Sprout Social  https://sproutsocial.com/insights/screen-sharing/ 5. How to Screen Share: 7 Remote Screen Sharing Dos & Don'ts | Poly Blog  (魚拓) https://web.archive.org/web/20200517203341/https://blogs.poly.com/remote- screen-sharing-tips

18. 発表後のQ＆A  仮想環境を用意して発表してもよいか?  → よいと思うが、ホストの画面が表示されないように気をつける  その他の注意項目  ユーザ名に本名が含まれていないか

     仮想環境上のchromeにログインしていないか ご質問いただきありがとうございました。

19. ご清聴ありがとうございました