「データアップロード型ウイルス検査サービス」による情報漏洩事案が発生しているとの情報提供がありました。
機微情報が含まれたメールデータを上記サービスで検査した結果,第三者へデータが渡ってしまったという事案です。

ウイルス検査について問題意識を持ち,このようなサービスを利用することは大変有意義なことですが,アップロードするデータに機微情報が含まれていた場合は結果的に情報漏洩事案に発展する可能性があります。

不審なファイルやメール等がある場合は,各人で判断せずに情報政策課もしくは最寄りの総合情報基盤センターへご相談ください。

データアップロード型ウイルス検査サービスについて

不審なファイルやURL情報等をアップロードすることで,コンピュータウイルスやマルウェア等の有無をオンライン上で検査可能なサービスがあります。
このようなウイルス検査サービス自体は無料で利用できます。

(参考)VirusTotal

データアップロード型ウイルス検査サービスの留意点

このサービスは無料で利用できる反面,利用者がウイルス検査に利用したデータ(アップロードされたファイル等)は「情報提供」として扱われ,有償サービスを契約した者は解析等のためにデータの二次利用が可能になるという運用ルールになっています。

(参考) VirusTotalの利用規約

したがって,ウイルス検査のためとは言え,不用意にデータをアップロードすると有償サービスを契約した第三者にデータが渡ってしまい,意図しない情報漏洩に繋がることになります。

データアップロード型ウイルス検査サービスの留意点

  • 検査対象のデータ(ファイルやURL)は「学外のサーバ」へアップロード(情報提供)されます。
  • アップロードされたデータは,有償サービスを契約した第三者が入手可能になります。
  • 不用意に利用すると意図せず情報漏洩事案に繋がる可能性があります。

Webブラウザの拡張機能を用いたデータアップロード型ウイルス検査サービスの留意点(2020/01/21 更新)

Firefox や Google Chrome には,データアップロード型ウイルスサービスと連動して自動的にウイルス検査を行うの拡張機能(アドオン)が存在します。このような拡張機能を用いることで,ダウンロードしたファイルやURLを簡単な操作でVirusTotalに送信することができます。

しかし,設定によってはウイルス検査対象のファイルが自動的にデータアップロード型ウイルス検査サービスへアップロードされるため,ウイルス検査対象のファイルに機密情報を含んでいた場合は,結果的に情報漏洩事案に繋がる可能性があります。

このようなサービスや拡張機能を利用する場合は,その性質を十分に理解した上で適切な利用をお願いいたします。

お問い合わせ

不審なファイルやメール等がある場合は,各人で判断せず以下までご相談ください。

☆ 連絡先

CSIRT事務担当: 学術情報部 情報政策課

TEL : 076-445-6058(五福)

Mail : security@adm.u-toyama.ac.jp