🌐 This article hasn't been translated yet — showing the Japanese version.
論文サイトarXiv、270万本調査で88%が機密情報を丸見えに thumbnail
VULNERABILITY Importance Medium 2026-07-14

論文サイトarXiv、270万本調査で88%が機密情報を丸見えに

⏱ approx. 2 min views 19 likes 0 LOG_DATE:2026-07-14

論文投稿サイト「arXiv」に上げられた論文の大半から、パスワードやSSH秘密鍵、GPS座標といった機密情報が漏れ出していたことが、ドイツ・アーヘン工科大学の研究チームによる調査で明らかになった。1991年から25年分、270万本の論文を対象にした大規模調査で、機密情報を含む論文の割合は実に88%に達したという。

LaTeXソースファイルから機密情報が漏れる仕組みの図解
LaTeXのコメント欄に残された設定メモが、ソース公開とともに漏洩する仕組み

原因はLaTeXという組版システムの仕様にある。LaTeXはプログラミング言語のようにソースコードで論文を記述する形式で、%から始まるコメント行はPDFには一切表示されない。研究者はここに「あとで消すつもりだったAPIキー」や個人用のメモ、共同編集用のGoogleドキュメントURLなどを書き残しがちだ。ところがarXivはPDFと一緒にソースファイル一式を公開する仕様のため、著者が消し忘れたコメントごと世界中に公開されてしまう。査読前論文というスピード重視の文化が、この種の「消し忘れ」を助長している面もあるだろう。

調査結果の統計インフォグラフィック。機密情報を含む論文88%、LaTeX利用93%、調査対象25年分
270万本の論文を対象にした調査結果のサマリー
攻撃者視点で見ると

arXivのソース一式はzipで一括ダウンロードでき、機械的なgrep一発で「password」「BEGIN OPENSSH PRIVATE KEY」などの文字列を大量収集できてしまう。研究機関のクラウド認証情報や内部ツールのAPIトークンが、論文本体より先に攻撃者の情報収集フェーズで見つかる構図だ。

研究チームは検出ツール「ALC-NG」をオープンソースで公開し、投稿前のセルフチェックを呼びかけている。学術界に限らず、GitHubのコミット履歴やドキュメントの隠しコメントなど「表には出ないが公開されている」情報は他にも多い。公開前の全文検索は、論文に限らずあらゆる公開作業の基本動作として持っておきたい。

𝕏 Post B! Hatena

COMMENTS 0

No comments yet — be the first to leave one.

Post a comment