Googleカレンダー、意図しない情報漏洩にご用心

「Googleカレンダー」には、詳しく情報を入力しなくても、人物や内容、場所などの情報を自動的に追加してくれる「Quick Add」機能がある。ただし、注意しないと、公開しないつもりの個人情報が漏洩する可能性がある。

Quick Add機能では、「Brunch with Mom at Java 11am Sunday（日曜日の午前11時に母とJavaでブランチ）」と入力すれば、次の日曜日の朝11時のセルに「Java」と書き込まれ、このイヴェントがスケジュールされる。イヴェントの参加者の電子メールを入力すると、この行事に各人を追加できる。この機能では多くの場合、それぞれの参加者のGoogleカレンダーにもこの情報が自動的に入力される。

だが、早くも2010年に記録されているとおり、この動作により、知らないうちに公開したくない個人情報が漏洩する可能性がある。そしてほぼ4年後の現在も、この事実はまだ人々を驚かしている。

ブロガーのテレンス・エデンは、同氏の妻が自分のGoogleカレンダーに入力した情報が、彼女の上司に伝わってしまった経緯を説明している。妻は、数カ月後の日付で、「（上司の電子メールアドレス）に、昇給を交渉する電子メール」と入力した。即座に上司は自分のGoogleカレンダーで、この情報のリマインダーを受信した。

「『なぜ義母に会いに行かないかの言い訳を義母のアドレスへ電子メール』、『離婚の詳細を夫のアドレスへ電子メール』、『赤いホッチキスを返してもらうよう、同僚のアドレスに電子メール』などと入力していたら、どんなことになるか想像できるだろう」と、エデン氏はブログに記している。

エデン氏が試したところによると、Googleカレンダーでは以下のように動作するという。

• Googleカレンダーをウェブ上で使用し、Gmailアドレスを件名に入力すると、該当ユーザーのGoogleカレンダーにイヴェントが追加される。
• これらのユーザーに、電子メールによる通知は送信されないものの、「ミーティング・リマインダー」ポップアップが表示される。
• Android搭載機器でイヴェントを作成した場合、ミーティングのリマインダーはトリガーされない。
• 非Gmailアドレスの場合、Googleカレンダーにミーティングの情報が追加されることもあれば、追加されないこともある。
• Googleカレンダーで項目を削除すると、ユーザーが最初のリマインダーを受信したかどうかに関わらず、彼らに「中止」を通知する電子メールが送信される。

エデン氏は、この動作についてグーグルのセキュリティチームに報告したという。それに対する回答は、「グーグルのユーザーのセキュリティに対しては、最低限の影響しか与えない」というものだった。

TEXT BY DAN GOODIN

IMAGE BY TERENCE EDEN

TRANSLATION BY TOMOKO MUKAI/GALILEO