GoogleWorkSpace:Googleグループのおもらし設定を確認する
背景
こういうのとか
こんなニュースがありました。
なんか最近、情報漏洩事例が多いですね。
SaaSが多機能になってきたことで設定不備による漏洩事例が増えつつあるのかな?
ということで今回はGoogleグループの設定について、
具体的にどこをどうやったらおもらししちゃうのか検証してみました。
検証環境について
-
おもらしする側
Google Workspace EnterprisePlus -
アクセスする側
Googleアカウントなし(シークレットウィンドウ)
準備したグループ
- おもらしする方 :buriburi@~
- おもらししない方:majime@~
両方とも↓の設定で作成
投稿内容
-
おもらしする方
-
おもらししない方
日大理工学部の場合
※再掲
「Googleグループ」の設定において、「ウェブ上の誰でも」が閲覧できるようになっていたことが、令和3年1月29日、外部の方からのご指摘により判明いたしました。
結論
下記A~Cの条件を満たす場合、グループ宛メールの内容が全て誰でも閲覧できる。
A. 管理コンソール:ビジネス向けGoogleグループの共有設定にて[この組織外からのグループへのアクセス]欄が[インターネット上で一般公開]になっている
B. Googleグループの個別設定:会話の履歴が[オン]になっている
C. Googleグループの個別設定:会話を閲覧できるユーザーが[ウェブ上のすべてのユーザー]になっている
[作業ログ]それっぽいところを変更してみた
管理コンソール
-
管理コンソールから以下の順に進む
→ アプリ
→ GoogleWorkspace
→ ビジネス向けGoogleグループの設定
→ 共有オプション
-
[この組織外からのグループへのアクセス]をインターネット上で一般公開に変更して保存
※反映に時間がかかる。体感ベースだと15分くらい待てば反映される。
-
確認してみるも表示はされない。
設定箇所が足りない可能性を疑う。
Googleグループ設定
-
管理コンソールから以下の順に進む
→ グループ
→ 対象グループの[設定を変更]をクリック
-
管理設定と詳細設定の[管理の設定]をクリック
-
赤枠内を変更する。
が、グレーアウトしていて選択ができない。
-
[グループを表示できるユーザー]欄を変更する。
-
この変更でどうなるのか確認したいので、一旦保存する
【確認】別のGoogleWorkspace環境のユーザーにてグループを検索してみる
-
メニューからグループを選択
-
マイグループをクリック→全てのグループとメッセージを選択
-
適当に検索(ここではburiburi@と検索している)
当たり前だが、別の組織なのでburiburi@とかいうふざけた名前のグループはHITしない
-
[私の組織外]をクリックすると検索結果が変わる
buriburiunko@なんてものがあるのか...(困惑)
【確認】別のGoogleWorkspace環境のユーザーから会話スレッドが表示できるかを確認する
- 会話欄の[承認済み]をクリック
- 対象スレッドをクリック
- 対象スレッドのリンクをコピー
- 別のユーザーからアクセスを試みる
※GoogleWorkspaceユーザーとそうでないユーザーとで微妙に文言が変わる。
▼GoogleWorkspaceユーザー
▼未ログインユーザー
- スレッドも表示できないとわかったので、グループ設定に戻る。
- 会話欄の[承認済み]をクリック
-
buriburi@の会話を閲覧できるユーザー欄を[ウェブ上のすべてのユーザー]に変更して保存する
【確認】別のGoogleWorkspace環境のユーザーから会話スレッドが表示できるかを確認する
- 会話欄の[承認済み]をクリック
- 対象スレッドをクリック
- 対象スレッドのリンクをコピー
- 別のユーザーからアクセスを試みる→表示できた。
▼GoogleWorkspaceユーザー
▼未ログインユーザー
- 会話欄の[承認済み]をクリック
-
検証完了。
設定をしていないmajime@の方にはアクセスできないことを確認した。
(蛇足)そもそもの話
ここがオフになっていればグループ宛のメールはグループへの投稿として残らない。
Discussion