inst石野です。

今日伝えたいのはタイトルに書いたとおりでして

HackMD使ってる人は公開条件すぐに見直して！

ということです。すぐやってください。ほんと、マジで危ない。

https://twitter.com/ishiko618/status/1597465233765076992?s=20&t=7wDOYCViBQF3MWLgK2y0Ww

営業をしたり、友達から紹介されたりしたら、人名検索してその人に関する情報収集をするのってふつうのコトだと思うのですが、とある会社の名前でGoogle検索したときに

ん？

というものを発見しました。

発見したのは上記Tweetにもあるように、とある人材紹介会社がHackMDというオンラインノートサービスに記載をして（おそらく候補者の人に送付した）面接対策のページでした。その社長の名前は面接官の名前としてそのページに含まれており、それがGoogle検索に引っかかってしまったものと思われるのですが。。。

本来、こういった情報はURLを知っている人だけに限定公開されるべきもので、Google検索に引っかからないようにNo-indexされて然るべき内容です。僕はHackMDを使ったことがなかったのでわからないのですが、どうやら限定公開したつもりがネット上で全公開されてしまっているというケースがありそうです。

ちなみに、その会社の面接対策のページから、編集者が作成したページも他に30ページほどあり

・面接担当者の名前
・求職者の名前（多くは名字のみでしたが）
・面接日時
・Web面接のURL
・人材紹介会社が利用しているサービスのID/PW

などがフルオープンになってしまっていました。

これはまずいとその社長に顛末を伝えるとともに、上記「人材紹介会社が利用しているサービス」を運営している会社の社長は友人だったため、その旨を伝え、人材紹介会社にページの非公開/削除を行ってもらいました。

その後、興味本位で

・HackMD 履歴書
・HackMD 職務経歴書
・HackMD 仕様書
・HackMD 要件定義

などで検索してみると、出てくる出てくる、本来社外に公開されるべきでない情報の数々。。。

比較的Tech通？の方が使っているサービスなのか、そこそこ経験があるエンジニアの業務経歴や、その人がどういった会社で業務委託で仕事をしていて単価がいくら、だとかHackMD内にURL限定公開のGoogleスプレッドシートのリンクなど貼り付けてあり、とある会社の従業員の給与データなども全く無関係の人から閲覧可能な状態だったりします。

某大手百貨店のECシステム構築でベンダーがメモったと思われる要件定義なんかも出てきました。これって公になったらめちゃくちゃ問題になるのでは。。。と見つけたものすべてに前述したような対応（会社に連絡するなど）をしようかとも思ったのですが、キリがないので僕がコントロールできるこのブログツールで注意喚起しておこうと思った次第です。

いや、お前そんなコト言わなければ誰も気づかんやろｗｗｗ

という意見もあるかもしれません。たしかにそうかもしれませんが、Google検索に引っかかって僕が偶然見つけてしまえるということは、誰もが発見してしまう可能性があるということですからね。

ここまで多くの人が誤って本来非公開であるべき情報を公開してしまっているのは、おそらくサービス側の仕様か説明に問題があるのではと思います。

利用者の皆さんへ
HackMD(弊社)は2017年で台湾で成立、現在アメリカの会社で登記し営業許可が貰っています。
HackMDのメインウェブサービスは日本地域のAWSで立てています。

— HackMD (@hackmdio) March 14, 2021

オフィシャルTwitterによると、台湾の会社のようですのできちんとローカライズがされていないのかもしれません。

サービスページには日本で株式公開している会社のロゴなどもあり、有料プランもあるようですが、、、ちょっとこの状態ですとなかなか現時点では使うのはしんどいツールなのではと思わざるを得ません。

様々なクラウドサービスが普及して、ネット接続さえできればどんな場所でも仕事ができる世の中というのはとても便利ですが、秘匿性の高い情報を取り扱う際にはしっかりとそのサービスの仕様なり信頼性を確認した上で使っていくべきですね。

賢明なブログ読者のみんなはHackMD+◯◯で検索は絶対しちゃダメだぞ！

ということでもしご自身が使っていたり、友人や同僚が使ってるよ、という場合には是非注意喚起してあげて欲しいと思います。

今日は簡単ですがこのへんで。

Kosuke　→Twitterもフォローしてね