【実証レポート】「リンクを知っている全員」の罠。機密情報漏洩プロセス検証

Googleドライブのセキュリティ監査ツール「DriveChecker」を提供する株式会社DriveChecker は、Googleドライブ等における「リンクを知っている全員」設定の危険性を検証する実証実験を行いました。本レポートでは、設定ミスによって機密データが検索エンジンにインデックスされ、第三者から完全に閲覧可能な状態になるまでのプロセスを図解付きで公開します。

背景：後を絶たない「共有設定ミス」による情報漏洩

近年、企業におけるクラウドストレージ（Google Workspaceなど）の導入が当たり前になる一方で、「共有設定のミス」による情報漏洩インシデントが急増しています。
特に多いのが、本来は社内や特定の関係者のみで共有すべきファイルを「リンクを知っている全員（閲覧者）」に設定してしまうケースです。多くのユーザーは「URLは長く複雑な文字列（ハッシュ）だから、リンクを直接教えない限り第三者には絶対にバレない」と誤認しています。
しかし、これは非常に危険な状態です。何らかの経路でURLが検索エンジンのクローラーに検知された瞬間、そのファイルは全世界に向けて公開された状態となります。
本実証実験では、この「リンクを知っている全員」設定が、いかにして情報漏洩（検索結果への露出）に繋がるのか、そのプロセスを実験環境にて再現・検証しました。

【実証実験の概要】
◾️目的
「リンクを知っている全員」に設定されたファイルが、検索エンジンにインデックスされ、第三者からアクセス可能になるプロセスを検証する。

◾️環境
本番環境から完全に隔離されたテスト用ドメインおよびクラウドストレージ環境。

◾️対象データ
架空の顧客名簿（ダミーデータ）を含むスプレッドシートファイル。

実証実験プロセス：機密情報が「丸見え」になるまで

【フェーズ1：設定ミス（罠の始まり）】
担当者が、業務効率化のために架空の「顧客リスト.xlsx」をクラウドストレージにアップロードしました。この時、アクセス権限を「制限付き」ではなく、「リンクを知っている全員（閲覧者）」に変更してしまいました。

担当者は「URLを知らなければアクセスできないから大丈夫」と考え、このURLを社内チャットや関係者へのメールでのみ共有しました。

【フェーズ2：予期せぬリンクの露出】
URLは非常に長く複雑ですが、以下のような些細なきっかけでインターネット上に露出する可能性があります。
経路A: 社内Wikiや公開設定を誤った社外向けマニュアルサイトにリンクを貼ってしまった。
経路B: ブラウザの拡張機能やプラグイン（悪意のないもの含む）が閲覧URLを収集し、外部サーバーに送信した。
経路C: リンクを知っている関係者が、個人の公開ブログやSNSの非公開設定を誤ってリンクを貼り付けた。

本実験では、「テスト用の公開Webページに、誤って該当ファイルのURLリンクを1箇所だけ設置してしまった」というシナリオ（経路A）を再現しました。

【フェーズ3：クローラーによる巡回とインデックス化】
リンクが設置されたテスト用Webページを、検索エンジンの巡回ロボット（クローラー）が発見します。
クローラーはページ内のリンクを辿る性質があるため、「顧客リスト.xlsx」のURLにもアクセスを試みます。
この時、ファイルは「リンクを知っている全員」に設定されているため、クローラー（＝第三者）からのアクセスを一切拒否せず、ファイルの内容を読み取らせてしまいます。

【フェーズ4：検索結果への露出（情報漏洩の完成）】
該当のサイトを公開し数日後。第三者が検索エンジンで特定のキーワード（例：「顧客リスト 2026」「社外秘」など）を検索します。
すると、検索結果の画面に、先ほどアップロードした「顧客リスト.xlsx」が直接表示されてしまいます。
検索結果をクリックすると、何の認証も求められることなく、ファイルの中身が完全に表示されてしまいます。
これで、悪意のあるなしに関わらず、世界中の誰もが機密情報にアクセスできる状態が完成しました。

専門的考察：「URLが複雑」はセキュリティ対策にならない

本実験から明らかなように、「リンクを知っている全員」という設定は、実質的に「インターネット全体への公開」と同義です。
URLの文字列が長く複雑（推測困難）であっても、それは「パスワード」の代わりにはなりません。一度でもURLがインターネット上のどこか（インデックス対象となる場所）に露出したり、ブラウザのアクティビティとして収集されたりすれば、容易に検索エンジンのデータベースに取り込まれてしまいます。

【よくある危険なケース】
「退職者にも一時的に見せたいから」と、一時的に「リンクを知っている全員」にし、そのまま放置している。
社外のパートナー企業と共有する際、相手のGoogleアカウントを尋ねるのが手間で、リンク共有で済ませている。
これらの運用は、いつ大規模な情報漏洩事故に発展してもおかしくない時限爆弾を抱えている状態と言えます。

5. 対策：手動チェックの限界と「DriveChecker」の活用
このような設定ミスを防ぐためには、「誰と」「どのファイルが」「どのような権限で」共有されているかを常に把握する必要があります。しかし、数千・数万と増え続けるファイルを、システム管理者が手動でチェックし続けることは不可能です。
DriveChecker（ドライブチェッカー） は、こうしたクラウドストレージ上の危険な共有設定を自動で検知・可視化するセキュリティソリューションです。
「リンクを知っている全員」設定のファイルを一括洗い出し: 組織内に潜む危険なファイルを即座に特定。
外部共有状況の可視化: 意図しない社外ユーザーへの権限付与を監視。
定期監査の自動化: 手間をかけずにセキュアな状態を維持。

「自社のドライブ環境に、検索エンジンから見えてしまうファイルはないか？」
手遅れになる前に、DriveCheckerで自社のセキュリティリスクを今すぐ可視化してください。
▼ DriveChecker サービス詳細・お問い合わせはこちら
https://drivechecker.taf-jp.com/