高木浩光＠自宅の日記

■ 旧はてなブックマークで社内情報が漏洩していた可能性

昨年11月上旬に、はてなブックマークでプライベートアドレスが登録されていることが話題になっていた。

• はてなブックマーク - はてなブックマーク - http://192.168.

たとえば次などがそれだ。

• http://b.hatena.ne.jp/entrylist?sort=eid&url=http://192.168.0.1/
• http://b.hatena.ne.jp/entrylist?sort=eid&url=http://192.168.0.2/
• http://b.hatena.ne.jp/entrylist?sort=eid&url=http://192.168.0.3/
• http://b.hatena.ne.jp/entrylist?sort=eid&url=http://192.168.0.4/
• http://b.hatena.ne.jp/entrylist?sort=eid&url=http://192.168.1.1/

「こういう使い方をする人がいるとはね」と思ったが、ここで気になったのは、タイトルが登録されていることだった。これらのタイトルが、はてなのサーバがアクセスして取得したものでないことはあきらかである。そういえば、はてなブックマークのブックマーク登録用ブックマークレット（旧版）は、次のようになっていて、ユーザが閲覧中のページのタイトルを取得して、b.hatena.ne.jp に送信しているのだった。

javascript:window.location='http://b.hatena.ne.jp/add?mode=confirm&title='+escape(document.title)+'&url='+escape(location.href);

私の勤務先にも組織内部からにアクセスを限定しているサーバがあるが、大丈夫かと心配になり、調べてみたところ、2つのページが登録されていた。

図1: 組織内サーバのページがタイトル付きではてなブックマークに登録された事例 その1

幸い、とくに問題のある情報が漏れたわけではなかった*1。うちの研究所や大学のようなところでは、機密に該当する情報を扱うことは少ないだろうからいいにしても、営業機密にあたる情報をタイトルに含み得る企業では、死活問題になるケースもあるのではないか。

URLがRefererで送出されるのはもはやしかたのないことだろう（だから、URLは社内サーバであろうとも公開前提の内容とするべきである）が、タイトルについてはそうはいかない。これは、はてなのブックマークレットがタイトルを送信するのが不適切だ。

この問題は、そのすぐ後の11月下旬にリニューアルされた新はてなブックマークで、対策されていた。

新はてなブックマークでは、はてなのサーバが当該URLにアクセスして得られたタイトルを登録するようになっているため、組織内限定サーバのページタイトルが登録されてしまうことはなくなった。

しかし、過去に登録されてしまったものはそのまま放置されている。11月に話題になってからだいぶ経ったので、こうした問題に敏感な企業では既に対策をとられたのではないかと思うが、はてなからはアナウンスがないので、まだこの事態を知らない企業もあるのではないか。

そこで、私が調べられる範囲で同様の事例を探してみたところ、いくつか見つかった。以下は問題の少ないと思われる事例である。

図2: 組織内サーバのページがタイトル付きではてなブックマークに登録された事例 その2

この事例は、社内に設置されたRSSフィーダか何かがブックマークされた事例のようで、タイトルは公開サイトのものなので、許される範囲のものだろう。

図3: 組織内サーバのページがタイトル付きではてなブックマークに登録された事例 その3

この事例も、社内ブログか何かだろうか、許される範囲のものと思われる。

ここでは研究系のところだけ示したが、営業機密にかかわるようなところでは、同様の事案がないか確認した方がよいのではないか。

また、ブックマークレットにはこういう危険があるので、業種、職種によっては、ブックマークレットの使用に制限を設けるべきところもあるかもしれない。