クラウド共有リンクのリスク
クラウド共有リンクが所有者情報、アクセスログ、編集履歴、実名アカウントと結びつくリスクを扱います。
クラウド共有リンクは便利です。
写真、PDF、動画、資料をアップロードして、リンクを送るだけで相手に共有できます。SNSやメールで直接大きなファイルを送れないときにも使いやすい方法です。
しかし、匿名性を考えると、クラウド共有リンクには注意が必要です。
ファイルの中身だけでなく、所有者名、アカウント名、編集履歴、共有設定、アクセス権、ファイル名、プレビュー画面、通知、アクセスログが関係することがあります。
共有リンクはファイルだけを渡すとは限らない
クラウド共有では、相手に見えるのはファイル本体だけではありません。
サービスによっては、所有者名、アイコン、メールアドレスの一部、フォルダ名、更新者、コメント、編集履歴が表示されます。
| 見えることがある情報 | リスク |
|---|---|
| 所有者名 | 実名アカウントと結びつく |
| プロフィール画像 | 本人や別アカウントが分かる |
| メールアドレス | 連絡先や実名アカウントが見える |
| フォルダ名 | 案件名、学校名、会社名が出る |
| 編集履歴 | 誰が作成・編集したかが残る |
| コメント | 共同編集者や会話内容が見える |
匿名でファイルを渡すつもりでも、実名クラウドアカウントから共有していれば、その時点で匿名性は崩れます。
共有設定の落とし穴
共有リンクには、いくつかの公開範囲があります。
「リンクを知っている全員」「特定の相手だけ」「組織内のみ」「編集可能」「閲覧のみ」などです。
設定を間違えると、意図しない相手が見られる状態になります。
| 設定 | 注意点 |
|---|---|
| リンクを知っている全員 | リンクが転送されると誰でも見られる |
| 特定の相手のみ | 相手のアカウントに通知や履歴が残る |
| 組織内のみ | 学校や会社のアカウントと結びつく |
| 編集可能 | 相手が内容を書き換えられる |
| 閲覧のみ | ダウンロードやコピーの扱いを別に確認する必要がある |
「閲覧のみ」にしても、相手がスクリーンショットや画面録画をできないとは限りません。
共有設定は、アクセスの入口を制御するだけです。情報が広がった後の制御までは保証しません。
ファイル自体の情報
クラウド共有では、ファイルの中身とも問題になります。
PDFには作成者名が残ることがあります。Officeファイルには編集者、コメント、変更履歴が残ることがあります。画像には撮影日時や位置情報が入ることがあります。
| ファイル | 残る情報 |
|---|---|
| 作成者、編集ソフト、埋め込み情報 | |
| WordやExcel | 作成者、変更履歴、コメント、組織名 |
| 画像 | GPS、撮影日時、カメラ機種 |
| 動画 | 撮影機器、位置、音声、背景情報 |
| 圧縮ファイル | 内部ファイル名、フォルダ構成 |
クラウド共有リンクを安全にしても、ファイル本体に情報が残っていれば意味がありません。
ファイルメタデータの詳しい確認は、別の記事で扱います。
アクセスログと通知
クラウドサービスでは、誰がアクセスしたか、誰が編集したか、いつ開いたかが記録されることがあります。
共有相手に通知が飛ぶ場合もあります。実名アカウントでアクセスすると、相手に名前が見えることもあります。
| 記録されることがある情報 | 匿名性への影響 |
|---|---|
| 閲覧者 | 実名アカウントで開くと名前が残る |
| アクセス時刻 | 行動の時系列が見える |
| 編集者 | 共同編集者や作業者が分かる |
| コメント履歴 | 会話や関係者が残る |
| 通知 | 相手に閲覧や共有が伝わる |
匿名で共有する側だけでなく、匿名で受け取る側にも注意が必要です。
実名アカウントにログインしたまま開くと、受け取るだけで痕跡が残る場合があります。
受け取り側の行動も、共有者に見える場合があります。
ファイルを開いた、コメントした、ダウンロードした、編集した、別の人に共有した、といった操作が履歴に残るサービスがあります。 匿名で資料を確認したい人が、実名アカウントで開いてしまうと、閲覧者として名前が出ることがあります。
| 受け取り側の行動 | 残る可能性 |
|---|---|
| 実名アカウントで開く | 閲覧者名やメールが残る |
| コメントする | 実名やプロフィール画像が表示される |
| 編集する | 編集者として履歴に残る |
| ダウンロードする | サービスによって履歴に残る場合がある |
| 転送する | 共有範囲が広がる |
匿名で共有したいときの考え方
匿名でファイルを共有したい場合、実名クラウドアカウントを使わないことが基本です。
さらに、ファイルのメタデータを確認し、共有リンクの公開範囲を確認し、アクセス後に誰の情報が残るかを考えます。
| 確認項目 | 理由 |
|---|---|
| 実名アカウントを使っていないか | 所有者名や通知で身元が出る |
| ファイル名に個人情報がないか | ダウンロード時に相手へ見える |
| メタデータを確認したか | 作成者や位置情報が残る |
| 共有範囲を確認したか | 意図しない相手に広がるのを防ぐ |
| 受け取り側のログイン状態を考えたか | 相手や自分の閲覧履歴が残る |
高リスクな共有では、通常のクラウドサービスではなく、匿名共有に向いた専用ツールを検討します。
OnionShareやSecureDropなどのツールについては、別の記事で扱います。
共有を止めても残るもの
共有リンクを無効にしても、すべてが消えるわけではありません。
相手がすでにダウンロードしていれば、ファイルは相手の端末に残ります。 スクリーンショットや画面録画をしていれば、内容は別の形で残ります。 通知メールやチャット履歴にファイル名やリンクが残ることもあります。
| 共有停止後に残るもの | 注意点 |
|---|---|
| ダウンロード済みファイル | 相手の端末やバックアップに残る |
| スクリーンショット | 元リンクを消しても内容が残る |
| 通知メール | ファイル名や所有者情報が残る |
| チャット履歴 | 共有した時刻や相手関係が残る |
| アクセスログ | 過去の閲覧や編集履歴が残る |
共有リンクは、公開状態を止めることはできます。 しかし、すでに見られた情報まで戻すことはできません。
共有前に相手の画面を想像する
クラウド共有では、自分の管理画面だけを見ても足りません。
相手がリンクを開いたとき、どの名前が表示されるのか。 ダウンロードしたとき、どんなファイル名になるのか。 プレビューでどこまで見えるのか。 相手がログインを求められるのか。
この画面を想像すると、実名アカウントやフォルダ名の露出に気づきやすくなります。 匿名性が必要な共有では、送る前に「相手からどう見えるか」を必ず確認します。
まとめ
クラウド共有リンクは、ファイルだけを渡す仕組みではありません。
所有者名、アカウント、メールアドレス、フォルダ名、編集履歴、コメント、アクセスログ、通知が関係することがあります。
匿名で共有するつもりなら、実名アカウントを使わないこと、共有設定を確認すること、ファイルメタデータを確認することが重要です。
また、受け取る側も実名アカウントで開くと痕跡が残ることがあります。
クラウド共有では、「リンクを送っただけ」と考えず、アカウント、ファイル、ログ、通知まで含めて確認します。
関連ツール
Tor Project
Tor Projectは、Tor BrowserとTorネットワークを開発・公開している公式プロジェクトです。
紹介する理由: Torは通信経路を隠す仕組みを学ぶ中心的な実例です。公式サイトでは、Tor Browserの入手、仕組み、利用上の注意を確認できます。
ExifTool
ExifToolは、画像、動画、PDF、Office文書など幅広い形式のメタデータを確認・編集できる代表的なローカルツールです。
紹介する理由: 匿名性が必要なファイルをオンライン変換サイトへアップロードせず、手元の環境でメタデータを確認しやすいため紹介します。
URL : https://exiftool.org/