隠したくて非公開設定した写真が覗き見されるかも!?オンライン写真サービスの意外なリスクを「Google フォト」で試す【吉川英一の「スマホのちょっと深いとこ」】

edo_bari_ikutsu
Google フォトに限らず、スマホ写真の自動アップロードを設定する前に読んで欲しい!

クラウドストレージへの写真保存はすでに一般的なこととなりました。最近リリースされた「Google フォト」など、専用アプリがスマホ内のすべての写真を自動的にオンラインストレージにアップロードしてくれるものもあります。このようにアップロードされた写真は通常自分だけが参照可能で他のユーザーからは見られないようになっています。

ところがサービスによっては、公開していない写真が第3者に覗き見られるリスクが存在します。今回の連載「スマホのちょっと深いとこ」では、そんなリスクについて実例を交えて説明します。

写真URLへの直接アクセスでだれでも写真を参照できる場合が

WindowsやMacなどのパソコンのWebブラウザーでは、Webページ上の写真を右クリックして、その写真のURLをコピーできるものがあります。今回はこの写真URLコピーを利用(悪用)します。以下では例として、写真サービスにGoogle フォトを、Google フォトを操作するWebブラウザーにWindows版のFirefox 38.0.1を、第三者を想定したブラウザーとしてInternet Explorer 11を使用します。なお、写真やアカウントはすべて筆者が用意し、実際に第三者の写真を覗き見ているわけではありません。

まず、Google フォトに非公開設定で写真をアップロードします。この時点では自分自身以外は写真を参照できないはずです。

image_service_001

写真をアップロードすると非公開になるはずだが……

次に先ほどアップロードした非公開の写真をWebブラウザー上でプレビュー表示し、その写真を右クリックしてURLをコピーして控えます。WebページのURLではなく、写真そのもののURLをコピーするのがミソです。

image_service_002

写真を右クリックして「画像のURLをコピー」

そして、コピーしたブラウザーを(自身のアカウントでログインしていない)別のWebブラウザーでロードすると、その写真が表示されます(*1)。ログインしていなくても表示されることから、URLさえわかってしまえば世界中の誰もが写真を参照できると言えます。

*1: コピーしたURLで表示される写真は画面表示用に縮小されたもので、アップロードした写真そのものとは異なりますが、内容を確認するには十分です。

image_service_003

別のブラウザーでURLを指定すると写真が表示される

FacebookやTwitterも同様、利用者は注意を

今回はプレビュー画面から写真のURLを取得するという、通常利用の範囲外といえる操作を行いました。取得される写真のURLは非常に長く複雑で、悪意の第三者が(プレビュー画面からコピーする以外の方法で)URLを知ることは極めて困難ですが、時間をかけてURLを順番に調べていけば、たまたまURLが合致して写真が表示される可能性はゼロではないことになります。

今回はGoogle フォトを例に挙げましたが、このような「非公開の写真が実は公開されている」ケースは意外と存在します。例えば、Facebookの写真付き近況アップデートや、Twitterの写真付きツイートは、近況やツイート自体を限定公開にしても写真は(長く複雑なURLで)誰でも参照できるように公開されています。一方で、GmailやGoogleドライブでは、同じ方法で取得したURLを用いても適切なユーザーでログインされていなければ写真は表示されません。

image_service_004

Facebookで「自分のみ」を設定して投稿しても……

image_service_005

URLがわかればだれでも写真を参照できる

さて、ここまで記事を読んだあなたは、例えば、会社の機密情報が入ったスマホや、他人に見られたくないプライベートな写真を撮影するスマホでGoogle フォトの自動アップロードを使いたいと思うでしょうか? Google フォトは非常に便利なサービスで、自動バックアップによって得られる利便性も明確なのですが、単純に便利だから使うというのではなく、利便性とリスクを天秤にかけてサービス利用の是非や利用方法(公開されても構わない写真だけを置くなど)を決める賢さも時として求められるのではないでしょうか。

一方でサービス提供者には、利用者がリスクを考えずに安心して使えるサービスの提供を望みたいところです。技術的に不可能ではないはずです(*2)。

*2: 写真URLへの直接アクセス時に、ログインセッションがなければアクセスを拒否するなどの方法が考えられます。GmailやGoogle ドライブはこのような挙動をしているようです。

■関連リンク
エスマックス(S-MAX)
エスマックス(S-MAX) smaxjp on Twitter
S-MAX – Facebookページ
無料で無制限な1600万画素ってどんなサイズ?写真と動画がネットに保存できる新サービス「Google フォト」の落とし穴!?対象ファイルでも常に圧縮される【レビュー】 – S-MAX
メディアクラウドストレージサービス「Google+ フォト」改め「Google フォト」に!無料で保存容量無制限の対象が写真なら1600万画素、動画ならフルHDに拡大 – S-MAX
連載『吉川英一の「スマホのちょっと深いとこ」』記事一覧 – S-MAX

今日の気分はバリいくつ?

スポンサーリンク

コメント

  1. 名無し より:
    2015/06/01 08:20

    見せたくないなら
    ネットに上げんなボケ

    返信
  2. 名無しなわけないでしょ より:
    2015/06/01 23:52

    ↑「バックアップ」の意味知ってる?てか誰に言ってんの。

    返信
  3. ハムスターちゃん より:
    2015/06/01 23:53

    わわわわーー!
    ドライブとフォトは違うんだ。う~ん、Flickrはどうなのかな…

    返信
  4. anonymous より:
    2015/06/02 09:07

    >>時間をかけてURLを順番に調べていけば、たまたまURLが合致して写真が表示される可能性はゼロではない
    それを言ったら、IDとパスワードを総当りして誰かのアカウントにログインするのも不可能ではないですね。十分に長い乱数列のURLなら、セキュリティ上大きな問題にはならないと思うのですけど。
    リスクがあるかないか、という二元論ではなく、どのくらいのリスクがあるのかという定量的な評価をしないと意味がないでしょう。

    返信
  5. 公開後悔 より:
    2015/06/03 14:22

    スマホのみでもシークレットモード使って再現できましたー…
    ログインさえ要らないってことはGoogleの人には全部見られてると思った方が良いんでしょうかね…
    公開するのと変わらないじゃん。

    返信
タイトルとURLをコピーしました