論文投稿サイト「arXiv」に上げられた論文の大半から、パスワードやSSH秘密鍵、GPS座標といった機密情報が漏れ出していたことが、ドイツ・アーヘン工科大学の研究チームによる調査で明らかになった。1991年から25年分、270万本の論文を対象にした大規模調査で、機密情報を含む論文の割合は実に88%に達したという。

原因はLaTeXという組版システムの仕様にある。LaTeXはプログラミング言語のようにソースコードで論文を記述する形式で、%から始まるコメント行はPDFには一切表示されない。研究者はここに「あとで消すつもりだったAPIキー」や個人用のメモ、共同編集用のGoogleドキュメントURLなどを書き残しがちだ。ところがarXivはPDFと一緒にソースファイル一式を公開する仕様のため、著者が消し忘れたコメントごと世界中に公開されてしまう。査読前論文というスピード重視の文化が、この種の「消し忘れ」を助長している面もあるだろう。

arXivのソース一式はzipで一括ダウンロードでき、機械的なgrep一発で「password」「BEGIN OPENSSH PRIVATE KEY」などの文字列を大量収集できてしまう。研究機関のクラウド認証情報や内部ツールのAPIトークンが、論文本体より先に攻撃者の情報収集フェーズで見つかる構図だ。
研究チームは検出ツール「ALC-NG」をオープンソースで公開し、投稿前のセルフチェックを呼びかけている。学術界に限らず、GitHubのコミット履歴やドキュメントの隠しコメントなど「表には出ないが公開されている」情報は他にも多い。公開前の全文検索は、論文に限らずあらゆる公開作業の基本動作として持っておきたい。
COMMENTS 0
No comments yet — be the first to leave one.