Hello there, ('ω')ノ

なぜ情報漏えいチェックが必要か？

社内システムや社外向けサイトでは、以下のような問題が実際に起こっています：

• 本来はログインした人だけが見られるべきデータが誰でも見える
• 古いファイルや資料がそのまま公開フォルダーに残っている
• エラーメッセージにシステム内部情報が含まれている

これらはすべて重大な情報漏えいリスクです。

---

実際のチェック手順① URLやフォルダー名を直接入力する

よくある例：

• https://intra.example.co.jp/files/
• https://intra.example.co.jp/uploads/
• https://intra.example.co.jp/logs/

これらのURLを直接開いてみます。

✅ 観察ポイント：

• ファイルや一覧画面がそのまま見えてしまわないか？
• ダウンロードリンクが無制限になっていないか？

---

実際のチェック手順② robots.txtやsitemap.xmlを確認

1. ブラウザで以下を開く：

2. https://intra.example.co.jp/robots.txt

3. https://intra.example.co.jp/sitemap.xml

4. 本来見せたくないURLが書かれていないかを確認します。

✅ たとえば：

• /admin
• /test/
• /backup/

こういった記述があれば、実際にそのURLが見えてしまわないか試します。

---

実際のチェック手順③ エラーメッセージの中身を見る

1. 存在しないURLを開く：

例： https://intra.example.co.jp/aaaaaaa

1. 表示されるエラー画面を確認

✅ 観察ポイント：

• サーバーソフトのバージョン情報が含まれていないか？
• 開発用コメントやデバッグ情報が出ていないか？

---

実際のチェック手順④ 公開範囲外のファイルを探す

プロキシツールやブラウザ開発者ツールを使って：

• JavaScriptファイル
• CSSファイル
• JSONレスポンス

などの中に、公開範囲外の情報が含まれていないか確認します。

✅ 例：

• 社員一覧データ
• 管理者用APIキー
• 未公開のメールアドレス一覧

---

社内システムでよくあるケース

• 社内ポータルの「お知らせ」画像フォルダーが誰でも閲覧可能
• 古いPDFやバックアップzipが残ったまま
• APIレスポンスに未使用フィールドが含まれている

---

チェックリストまとめ

• [ ] ファイル一覧ページやディレクトリを直接開いて確認したか？
• [ ] robots.txtやsitemap.xmlを確認したか？
• [ ] エラーメッセージに機密情報が含まれていないか？
• [ ] 公開ファイルの中身まで細かくチェックしたか？
• [ ] 本番環境でテストする前に必ず許可を取ったか？

---

注意事項

• 本番環境では慎重に操作すること
• 自分が触って良い範囲か必ず確認すること
• 見つけた場合は速やかに開発担当者や情報管理部門へ報告

---

まとめ

• 情報漏えいはURLや公開ファイルの見直しから始まる
• 特別なツールがなくてもブラウザだけで十分チェックできる
• 「本来誰に見せるものか？」を意識して確認する

Best regards, (^^ゞ