最近、人気のブラウザ翻訳拡張機能 Immersive Translate 同社が深刻なデータ漏洩に巻き込まれた。ビジネス契約書、個人を特定できる情報、暗号通貨の秘密鍵といった価値の高いデータを含む、機密性の高いユーザー情報を含む大量の「ウェブスナップショット」がインターネット上に公開されているのが見つかったのだ。約 559.6MBその名は readit.site.tar.zst のzipファイルがネット上に出回っており、サービスから流出したスナップショットデータが含まれている。
事件の核心は、従来のハッキングではなく、「ウェブ・スナップショット」と呼ばれる拡張機能の重大な設計上の欠陥だった。
パブリック・シェアリングの致命的な代償
この調査によれば、「私は、このようなことをした。Immersive Translate スナップショット機能は、ユーザーが翻訳されたウェブページへのリンクを、共有用の独立したウェブページとして生成できるように設計されています。しかし、これらの生成されたリンクはデフォルトで公開され、アクセスパスワードや暗号化措置はありません。このデザインは、検索エンジンのクローラーがこれらのスナップショットページのコンテンツをクロールしてインデックス化し、リンクを知っている人なら誰でも直接アクセスできるようにすることが簡単にできるようにするための直接的な結果です。
この拡張機能の開発者 Oven-Chan その後発表された公式声明の中で、同社は「ユーザーがプライベートなコンテンツを共有するために利用する可能性を著しく過小評価していた」ことを認めた。この見落としが危機の直接の原因だった。ユーザーが便宜上、機密情報を含む社内文書やプライベートなコンテンツを翻訳して「スナップショット」を撮ることは、そのデータを公開していることになる。
より深い問題は、ユーザーがサードパーティのオンライン翻訳サービス(あらゆる種類の翻訳サービスを含む)を選択した場合 AI (翻訳)、生のテキストデータは、処理のためにサービスプロバイダのサーバーに送信されなければならない。つまり、ユーザーがスナップショットを生成しなくても、機密データはすでに潜在的な漏洩セッションを受けていることになる。スナップショット機能の欠陥は、この潜在的なリスクを、公開された恒久的なデータの暴露に変えてしまう。
開発者による改善と反省
事件が明るみに出た後Immersive Translate の開発チームは一連の緊急改善策を講じた。公式声明によると、チームは古い安全でないスナップショットリンクをすべて無効にし、新しいスナップショット機能にパスワードで保護されたオプションを緊急追加した。一方、同機能のインターフェイスには、機密データを扱わないよう注意を促す目立つセキュリティ警告が追加された。
ソフトウェア開発において、「利便性」が「デフォルトのセキュリティ」を犠牲にしてはならない。ユーザー・データを扱うツールの場合、開発者には、悪用される可能性のあるシナリオを予測し、製品の中核機能の一部としてセキュリティを設計する第一の責任がある。パスワードの義務化、リンクの有効期限、プライバシーに関する明確な告知は、標準的なものであるべきだ。
一般ユーザーにとっても、個人のデジタル・セキュリティに対する意識を高める必要性が改めて浮き彫りになった。機密情報を扱う際には、完全にオフラインで操作できるツールを優先し、インターネット接続を必要とするサービスには注意することが重要である。結局のところ、いったんデータがオープンなインターネット上に流出してしまうと、それを完全に消去することはほとんど不可能なのだ。
![[转]表现惊艳,但有致命弱点:GPT-5 前端开发能力全方位深度剖析](https://www.kdjingpai.com/wp-content/uploads/2025/08/d542ddea54ffce9.png)
日本語 
简体中文 
English 
Deutsch 
Português do Brasil