見えてしまうurlscan.io

urlscan.ioというものがあります。
URLScan Security Scannerです。
urlscan.ioは名前の通りURLをスキャンできます。
スキャンしてそのURLが悪意あるものであるのかの判定を行うことができます。

urlscan.ioではこのスキャンする機能をより有効なものとすべく、APIも併せて提供されています。
APIを使って他の製品と連携させることで、自動的にこのURLスキャンの効能を手に入れることができ安全が高まります。

しかしその一方で注意が必要である点も明らかになりました。
urlscan.ioではスキャンした人がスキャンした結果を見ることができます。
urlscan.ioではスキャンしていない人も自分ではない誰かがスキャンした結果を見ることができます。
そうです、自分のチェックしたURLではないものを見ることができるのです。

チェックされるURLにはどういうものがあるでしょう。
手動でこの仕組みを利用する場合、疑わしいと思っているURLをチェックするのでしょうからそれを他の人が見ても困らないかもしれません。
しかしAPIを使った連携を実施済みの場合どうなるでしょう。
Google Documentに保持されているデータがスキャン対象となっているかもしれませんし、GitHubに持っているリポジトリがスキャン対象となっているかもしれません。
そのスキャン対象のデータは果たして公開データだけでしょうか。
プライベートデータもスキャン対象となっているケースがあることが確認されています。

urlscan.ioはVirus Totalに似た効能を提供するものといえます。
悪性のある情報を効果的に判定することができ、使い方を誤らなければとても有用なものといえます。
しかし場合によっては今回明らかになったように、公開したいと考えないようなデータも対象となってスキャンされて公開されてしまうことになっています。
パスワードリセットリンク、メール購読解除リンク、アカウント作成URL、APIキー、Telegramボットに関する情報、DocuSign署名要求、共有Googleドライブリンク、Dropboxファイル転送、SharePoint、Discord、Zoom、PayPal請求書、サービスへの招待リンク、Webexミーティングの録画、荷物追跡用のURLなどです。

道具は使いようによるということなのでしょうね。

参考記事（外部リンク）：urlscan.io’s SOAR spot: Chatty security tools leaking
private data
positive.security/blog/urlscan-data-leaks