ゲッティイメージズ/WIRED
人気のスクリーンショットアプリは、スクリーンショットをウェブ上に送信することで、知らないうちに個人情報を晒し、機密性の高い個人情報を漏洩させています。このアプリで撮影された多数のスクリーンショットのURLはオンラインで簡単に発見できるため、データスクレーパーや犯罪者の標的となりやすい状況となっています。
ソフトウェア開発会社Skillbrainsが所有するLightshotスクリーンキャプチャアプリは、何百万人ものユーザーがパソコンやスマートフォンで撮影した画像を撮影・共有するために利用しています。スクリーンショットを撮影した後、ユーザーは公開URLを使ってLightshotのサーバーに画像をアップロードすることができます。また、デスクトップに保存したり、ソーシャルメディアに直接共有したりすることも可能です。
URLオプションは、ユーザーがスクリーンショットをソーシャルメディアプラットフォームを通じて友人、家族、同僚と共有できるようにするためのものです。Lightshotのウェブサイトによると、20億枚以上のスクリーンショットがアップロードされています。しかし、URLの生成方法が大きなプライバシー問題を引き起こしています。
スクリーンショットのURLはすべてシンプルな形式です。prnt.sc/(Lightshotのサーバー)に6桁の英数字コードが続きます。つまり、prnt.sc/に続けてランダムな6桁の数字または文字の文字列を入力すると、他のユーザーがアップロードしたスクリーンショットを偶然見つけてしまう可能性があります。実際、Lightshotのリリース以来、多くの人がスクリーンショットを偶然見つけています。
Lightshotの最初の安定版リリースは2014年で、それ以来、このアプリケーションは複数のブラウザとOSに展開されてきました。MacとWindows向けのアプリに加え、ChromeとFirefox向けの拡張機能も提供されています。LightshotのChrome拡張機能は100万回以上ダウンロードされており、Firefox版は4万人が利用しています。Android版は、Google Playストアから50万回以上ダウンロードされています。
WIREDは、Lightshotでランダムに生成された11,000件のURLの結果を調査した結果、個人情報が含まれていることを発見しました。ほとんどのURLは無害なものか、スクリーンショットが削除されたか、もう見つからないというエラーメッセージが表示されるだけです。しかし、多くのURLには、氏名、住所、電話番号、銀行口座情報、さらには親密なビデオ通話のスクリーンショットなどが含まれています。
自動ウェブスクレイピングスクリプトは、生成された11,000個のURLから529枚のライブ画像を発見しました。これらの約63%は、ビデオゲームのスクリーンショット、コーディング手順書、アパートの物件情報などです。今のところ、特筆すべき点はありません。
分析された画像の約20%には、個人情報を盗んだり、他のオンラインアカウントに侵入したりするために使用できる情報が含まれています。人々は、特定可能なユーザー名を使用して、チャットログ、メール、ソーシャルメディアの投稿の一部を共有しました。
分析の結果、公開スクリーンショットの8%に、より機密性の高い個人情報が含まれていたことが判明しました。これには、ビデオ通話中に撮影されたヌード写真6枚、個人のFacebookのプライベート写真(一部は子供のプロフィールのもの)のスクリーンショット6枚、氏名、ログイン情報、銀行口座情報、電話番号、IPアドレス、配送先住所、私書箱番号を含む画像30枚が含まれていました。
「このように機密性の高いユーザーデータを公開することは、デジタルプラットフォームがユーザーのプライバシーを犠牲にして利益を得るという不公平な不均衡を生み出します」と、シェフィールド大学先端システムセキュリティグループの研究助手、バグヤ・ウィマラシリ氏は述べています。ウィマラシリ氏はさらに、このようなプラットフォームは、データのマイニングや一見便利なユーザー機能の作成など、まさにセキュリティの低さそのものを収益化するモデルに基づいて構築されていると付け加えています。
Lightshotの所有者であるSkillbrainsは、複数回のコメント要請に応じなかった。しかし、同社の利用規約では、アップロードされた画像は非公開ではないことが明記されている。「すべての画像は、そのURLを入力すれば誰でもいつでもアクセスして閲覧できます。このウェブサイトにアップロードされた画像は、一般の閲覧から完全に隠されることはありません」と利用規約には記されている。「当ウェブサイトの機能は、安全なプラットフォームを目指したものではなく、画像を共有するためのものです。」
Lightshotでアップロードされた機密性の高い情報を見つけられることは公然の秘密です。LightshotではWebスクレイピングが一般的に行われており、独自のスクレイピングスクリプトがGitHubにアップロードされている人もいます。ある人は、データサイエンスウェブサイトKaggleにLightshotで撮影した13,000枚の画像をアップロードしました。また、スクリーンショットを分析して各画像の内容を検出できると主張するツールもあります。
Lightshotの利用規約では、成人向けコンテンツを含むファイルや「虐待」に該当し、他者の法的権利を侵害するファイルのアップロードは禁止されています。しかし、個人情報の漏洩に関しては、画面に表示されているものを手軽に共有したいユーザー向けの警告がほとんどありません。Lightshotツールのユーザーインターフェースにも、ウェブサイトのホームページにも、アップロードされたすべてのコンテンツが基本的に公開されるべきであるとは明記されていません。
うっかり個人情報を漏洩してしまうと、様々な攻撃にさらされることになります。適切なデータを入手すれば、犯罪者はあなたの個人情報を盗んだり、口座からお金を引き出したり、フィッシング攻撃を仕掛けたりすることができます。
個人情報の漏洩を防ぐ責任は、消費者と企業の両方にあります。利便性とプライバシーの間には、しばしば見過ごされがちなトレードオフがあることを人々は認識し、より注意深く、ウェブ上に公開するコンテンツを自ら監視する必要があります。アプリ開発側では、URL生成を定型的なものではなくすることで、スクレイピングをはるかに困難にすることができます。Parlerの例を見れば一目瞭然です。
この記事はWIRED UKで最初に公開されました。
