本当は怖いGoogleタグマネージャー Googleアカウントの管理はしっかりと
はてなブログの「鈴木です。」は更新を(おそらく)停止しました。
ブログはWordPressにて継続しているので、よければ是非訪れてください。
なお、ちょっと黒い鈴木はnoteをご覧ください。
最近、Googleタグマネージャーの勉強を少しだけしている鈴木です。
ここのところ、グーグルネタが多いな~(^^;
すっかり忘れてましたが、こんなメールがGoogleさんから6月初旬に届きました。
なんと、鈴木のGmailのアカウントに不正にログインを試みた輩がいるそうです。
確かに、全国的にGoogleアカウントの不正ログインが問題にはなっていますね。
そこで、仮にGoogleアカウントが外部に漏れた場合の最悪の状況を考えてみました。
Googleで使っているサービス
普段、何気なく使っているGoogleのサービス。個人的によく使うサービスは以下の通りです。
- グーグル アナリティクス
- ウェブマスターツール
- グーグル タグマネージャー
- Gmail
- グーグルドライブ
- Google+
- YouTube
- グーグルカレンダー
- グーグルマップ(グーグルアース含)
ざっと、思いつくだけでもこれだけありました。
よく考えなくても、これらのツールって、1つのGmailアドレスとパスワードで利用が可能なんですよね。
他にもいろいろグーグルのサービスがあります。
ここで怖いな~と思ったのが個人ではなく、法人の場合です。
特に個人情報管理画面のあるコマースサイト。
仮に、Googleのアカウントが盗まれた場合、コマースサイトなら、個人情報がダダ漏れになる可能性があるという事です。
Wappalyzerで何を使っているか誰でも解る
FireFoxやChromeのアドオンでWappalyzer というものがあります。
これを入れると、見ているサイトがどんなアクセス解析ツールを入れていて、どんなツールで作られ、サーバーの種類等も解ります。
上記は、鈴木のWordPressサイトのもの。
WordPressで作られ、グーグルアナリティクスとグーグルタグマネージャーが入っているのが一目瞭然で解ります。
これを踏まえて、鈴木がよく使う宿予約サイトのじゃらんを見てみます。
Adone Analytics(旧Site Catalyst)がアクセス解析ツールで入っているのが解りますよね。GTMは入っていないので安心です。さすが、じゃらん。
トップページにはグーグルアナリティクスも入っていましたよ。
仮に、Googleタグマネージャーを扱っているGoogleアカウントが盗まれたら
もし、コマースサイト等で個人情報確認画面にもグーグルタグマネージャーが入っているGoogleアカウントが盗まれた場合、Google Analyticsと組み合わせる事で、個人情報を引っこ抜く事が可能になる事があります!
ウェブ上の情報は基本的に設定次第で、Google AnalyticsやAdobe Analyticsなら、取得する事が出来ます。
そして、Googleタグマネージャーが入っていれば、サイト上のGoogle Analyticsのトラッキングコードを改変する事なく、Googleアナリティクスで個人情報を収集出来る場合があります。つまりウェブ上の操作だけで個人情報を引っこ抜く設定が可能という事です。
もちろん、Googleは、Google Analyticsで個人情報を収集する事を禁止しています。
ただし、Googleアカウントを盗むような人には関係ないですよね。
つまり、Googleタグマネージャーが入っているサイトで個人情報確認ページにもGoogleタグマネージャー(以後 GTM)が入っていて、そのGoogleアカウントが盗まれた場合、悪意ある人が盗んだのなら、個人情報を抜いてしまう可能性があるという事です。
個人情報確認ページにはGTMは設置しないのが吉
仮にコマースサイト等で、Google AnalyticsをGTMで導入しているサイトは、Googleアカウントが万が一盗まれた場合に備えて、GTMを設置しない方が安全かもしれません。
そうは言っても、このページだけ普通のGoogle Analyticsのトラッキングコードを入れないというのも、面倒なので、GTMを扱っているGoogleアカウントには必ずGoogleの2段階認証プロセスを導入するのが良いと思います。もしくは他のセキュリティを実施するか。
それが出来ないのなら、個人情報確認ページにはGTMを入れないという事ですね。
ネットで調べるとGTMのメリットしか書いていないが・・・
ネットでGTMを調べるとメリットしか書かれていません。
デメリットがまるで書かれていません。
もちろん、GTMを導入するような企業なら、それなりにITリテラシーも高く、セキュリティ意識も高いのかもしれません。
しかし、こんな個人ブログでもGTMやGoogle Analyticsの情報が得られる時代です。
少し知識を身につけた担当者が何もセキュリティを意識せずにGTMを導入して、Googleアカウントが盗まれ、悪用されてサイトから個人情報が漏洩したら・・・・
そのサイトは多大な損害を受けるでしょう。
Google Analyticsしか導入していないコマースサイトなら、Googleアカウントが盗まれても、会社としての機密情報は盗まれるかもしれませんが、個人情報は盗まれないので、社会的にはまだセーフと言ったところだと思います。
ただ、個人情報の漏洩だけは取り返しがつかない場合もあります。
会員が自分の個人情報を閲覧出来るサイトの場合、GTMでGoogle Analyticsを導入される時は必ず事前にGoogleアカウントのセキュリティ確認を行いましょう!
© 2015 suzukidesu, ALL RIGHTS RESERVED.
文章並びに画像等、すべての著作物の盗用&不正利用・転載を禁止します。特にまとめサイト(NAVER・RETRIP等)での使用を固く禁止します。また、無断で使用した場合は使用料を請求いたします。詳しくはこちらのエントリーをお読み下さい。