やじうまWatch
マルウェア検査サイトを通じた個人情報ファイルの外部流出、そのまさかの原因が話題に
2021年2月2日 06:00
マルウェア検査サイト「VirusTotal」を通じたファイル流出が、一部で話題になっている。
「VirusTotal」はGoogleが運営するマルウェア検査サイトで、ウェブサイトやファイルを指定するとマルウェアが含まれないか検査して教えてくれるのだが、今回話題になっているのは同サイトが提供している別の機能。それはユーザーから提供されたデータを会員企業や研究者の間で検体として共有する機能で、これらを知らずに手持ちのファイルを検査目的でアップすると、意図せず外部に漏れてしまう危険があるのだ。誤ったファイルをアップロードした時のための削除申請フォームが用意されていることから分かるように、あくまでも仕様であって不具合ではないのだが、ブラウザ拡張機能を使うとネットからダウンロードしたファイルを自動的にVirusTotalに送信する設定も可能とのことで、先月末に北陸先端科学技術大学院大学で発生した個人情報の流出は、同サイトまたはそれに類する検査サイトがきっかけだったと見られている。無料で使える検査サイトとして広く知られるVirusTotalだが、こうした機能があることは知っておいたほうがよさそうだ。
- VirusTotal
https://www.virustotal.com/ - I accidentally uploaded a file with confidential or sensitive information to VirusTotal, can you please delete it?(VirusTotal)
https://support.virustotal.com/hc/en-us/articles/115002093689-I-accidentally-uploaded-a-file-with-confidential-or-sensitive-information-to-VirusTotal-can-you-please-delete-it- - [怪談]VirusTotal沼のお話(対策含)|__aloha__(note)
https://note.com/hiro_shi_note/n/n3be8960784b6 - 外部サイトへの本学構成員に関する個人情報の流出について(JAIST 北陸先端科学技術大学院大学)
https://www.jaist.ac.jp/whatsnew/info/2021/01/29-2.html