全世界で10億回以上ダウンロードされ、世界中に利用者が存在するGoogleカレンダー。セキュリティ研究者のAvinash Jain氏が、Googleカレンダーを公開設定にした場合には、Googleの検索エンジンにインデックスされ、Googleの検索結果に意図せず表示されるリスクが有ると発表した。

　本記事はGoogleカレンダーの脆弱性を指摘というよりは、ユーザが誤った利用をしないための注意喚起という側面が強い。Googleとしては、公開設定を有効化すれば検索結果に表示されるとアナウンスしているからだ。

■Googleカレンダーを法人利用している場合には特に注意が必要

　Googleカレンダーには、アクセス権限の設定が有り、ここで「公開設定」を選択すると、Google検索等で検索結果に表示されるようになる。もっとも、本機能を有効化する際には、"検索結果に表示されるようになる"と警告が表示されるため、ITリテラシーの高いユーザで有れば、本機能を有効化した際の影響は想像が付くだろう。

　しかし、ITリテラシーがそれ程高く無いユーザであったら、この警告の内容から、どんなことが起きるか想像出来るだろうか?例えば、入社したばかりの新入社員が、先輩にカレンダーを共有しようとして、うっかりこの機能を有効化し、会社の行動予定や、顧客のアポイント、重要な案件の提案期日等をマメに登録し、それが第三者に公開されるような悲劇は、発生しないと言い切れるだろうか?

　クラウドサービスの怖い所は、サービス提供者側が便利な機能として準備し、有効化する際の警告をアナウンスしていたとしても、ユーザが影響範囲を正しく判断出来るとは限らず、更には他のサービスにデータが共有されることも有る点だ。

■公開設定のGoogleカレンダーを検索する方法

　参考までに、Avinash Jain氏が指摘した、公開設定のGoogleカレンダーをGoogle検索に表示させる方法を紹介しよう。Google検索で、以下の文字列を入力することで、公開設定のGoogleカレンダーを検索することが可能だ。悪用される可能性も有るので、詳細な解説は行わない。

上記の検索を実行し、検索結果に表示されたGoogleカレンダーを実際に追加したのが、以下の画面だ。

■学校関係者は特に注意が必要

　筆者がテストした際に、学校関係と思われるGoogleカレンダーが何件か検索結果に表示された。Googleのサービスは学校向けには無料で提供されているためと推測されるが、無料で利用出来ているため、セキュリティトレーニング等が実施されていることは少なく、利用上のリスク等が理解されないまま利用されているケースは少なくない。

　筆者が確認した学校関係のGoogleカレンダーには、運動会や中間テスト等の学校行事が事細かく記録されており、学校を狙うテロ等が計画されている場合には、有益な情報を提供することになってしまう。

　学校行事は関係者が多く、公開カレンダーは関係者への情報共有として便利であることは想像が付く。また、詳細なアクセス権限が設定されていないのも、恐らくはGoogleアカウントを保有していない人達にも閲覧出来るようにとの配慮と推測される。

　しかし、多くの生徒が集まる学校の行事は犯罪を計画する人間にとっては、有益な情報提供となるリスクが有る。公開設定ではなく、アカウントレベルのアクセス権限を設定した方が良いだろう。

　冒頭で記載した通り、本記事の趣旨はGoogleカレンダーの脆弱性と表現したいわけではなく、利用者、管理者に対する注意喚起を目的としている。公開機能は便利な機能だが、本機能を有効化する際に検索結果に表示され、第三者でもカレンダーを追加可能になることを十分に理解した上で有効化することを推奨する。