画面共有時にセンシティブな情報を 意図せず公開してしまう事例の調査 第５回 初心者のためのセキュリティ勉強会（オンライン開催） meow (id: meow_noisy) 2021/03/24(水)

背景  オンラインでプレゼンする機会が増えた  ビジネス、ウェビナー、勉強会など  画面共有機能を使って資料を見せる  他人には伏せておきたいような情報を晒すリスクがあるのでは?  →画面共有時にどのような情報をどのようにして うっかり見せてしまうケースがあるかを調べてみた

一瞬しか映らないから平気?  聴講者はキャプチャしているという想定  情報が1フレームでも映り込むとアウトと見なす  キャプチャツールはインストール不要。即起動可能。  windows  Win + Alt + r  mac  shift + command + 5

断片情報しかわからないから平気?  ユーザidやメールアドレスから 芋づる式に個人情報を 手繰り寄せられる可能性がある https://hackershala.com/osint-workflow-charts-inteltechniques/

調べた検索ワード  "screen sharing" AND (risk OR blunder OR confidential)  zoom "data breach"  ヒットした記事の内容をまとめた  スライド末尾の参考文献を参照  個人の体験も一部含む  → 扱っている記事数は少ない  ビジネスにおけるzoomの使用心得が多かった

注意すべき場所まとめ  デスクトップの状況  通知のポップアップ  Webブラウザ  発表とは無関係のバックグラウンドのアプリ  キー入力  個人的に気になったので項目に追加

デスクトップの状況  置いているファイル  アプリのショートカット  タスクバーのピン留め

通知のポップアップ  画面に突然現れる可能性  チャットツール  slack, teams,…  メーラー  SNSなど  LINE,… 私はプレゼン中に、steamフレンドが ゲーム開始した時の通知が出たことがあります

Webブラウザ  ブラウザのログイン中のユーザ  サービスログイン中のアカウント情報  氏名、非公開のユーザid、メールアドレス  youtubeを開いた時のサジェストなど  発表とは無関係なタブ  Facebookのプロフィール  検索ワードの入力中  閲覧履歴補完  物件検索サイトの履歴  検索ワード履歴補完  ユーザ認証時の補完  認証時のメールアドレスを自動入力される、など  ブックマーク  会社労組へのリンクとか 一部は、シークレットモードでも表示されるので注意 自分の顔写真を登録していないか 本名が出るサイトもある

開いたままの無関係なアプリ、ドキュメント 何かの拍子(プレビューなど)に表示するリスク  ファイルシステム(エクスプローラー、Finder,など)  最近開いたファイル  作業中のwordファイル  作業内容  Office系は右上にユーザ名やメアドが表示される  メーラー  宛名の本名  非公開のメールアドレスが判明する可能性  (macのメーラーは発表画面に割り込んで表示してくるので怖い)  付箋ツール  チャットツール  ステークホルダーとの打ち合わせ内容  リモートワークツール(の設定画面) https://dekiru.net/article/19554/

キー入力 議事メモを共有しながら取っている時とかに晒しやすい  IMEのサジェスト  取引先と思われるもの  自分の名前やメールアドレスがすぐ出やすいように辞書登録してい る、など。  クリップボードの履歴機能  オンになっていると、Win + v で履歴が表示される  何らかの作業内容が含まれているリスク

[備考] zoomg  Zoomの仮想背景適用映像から、部屋を復元するツール  製作者: Ryusei Ishikawa, Satoki Tsuji  https://github.com/Tsuku43/zoomg 画像: https://github.com/Tsuku43/zoomg/blob/master/avtokyo/%5Bja%5D%20slide-AVTOKYO2020.pdf

[備考] xeuledoc  公開されているGoogle系のドキュメントの共有URLから オーナーの情報を引っこ抜くpythonパッケージ  https://github.com/Malfrats/xeuledoc  共有URLから本名やメアドがバレるリスクがある  仕組みはあまりわかっていないが、ドキュメントURL末尾の文字数が 44の状態だと、引っこ抜ける状態の模様(次頁)  発表資料の共有はアップローダを介したほうが無難 図はgithubのもの Googleスライドで資料共有している方向け

[備考] xeuledoc再調査  リンク共有方法がファイル自体へのリンクで、参照範囲が 「リンクを知っている全員」だと抜ける  ファイル > “ウェブに公開”の方のリンクだと抜けなかった アウト セーフ

情報の意図しない公開をしないために  プレゼンツールだけ画面共有する  ただし、別の補足資料を開いたり、議事メモを共有するために、 画面全体の共有に切り替えたくなりやすいので注意  プレゼンツール自体の余計なタブや、閲覧履歴の表示にも注意  通知は切っておく  不要なアプリは落としておく  発表が終わったら画面共有を即座に切る  ブラウザのタブもなるべく閉じておく  ブラウザを見せる必要があるならば最低限シークレットモード で  それでも、過去のサイト巡回履歴などは表示されるので注意  発表用ユーザアカウントを作っておく 無関係なタブがあるかも (さいたま市の書類)

まとめ  リモート発表時において、意図せず情報公開してしまう 事例を発表した  ヒヤリハット案件だと思うので「こういう事例あるよ」と いう方がいらっしゃいましたら、共有いただけますと幸い です

参考文献 1. 6 Screen Sharing Blunders and How to Avoid Them | Glance Networks  https://ww2.glance.net/2016/08/6-corporate-screen-sharing-blunders/ 2. A Simple Checklist to Avoid Screen Sharing Blunders  https://blog.flock.com/screen-sharing-checklist 3. A Simple Checklist to Avoid Screen Sharing Blunders  https://blog.flock.com/screen-sharing-checklist 4. Screen Sharing Tips and Best Practices for Remote Teams | Sprout Social  https://sproutsocial.com/insights/screen-sharing/ 5. How to Screen Share: 7 Remote Screen Sharing Dos & Don'ts | Poly Blog  (魚拓) https://web.archive.org/web/20200517203341/https://blogs.poly.com/remote- screen-sharing-tips

発表後のQ＆A  仮想環境を用意して発表してもよいか?  → よいと思うが、ホストの画面が表示されないように気をつける  その他の注意項目  ユーザ名に本名が含まれていないか  仮想環境上のchromeにログインしていないか ご質問いただきありがとうございました。

ご清聴ありがとうございました