ドイツのアーヘン工科大学に所属する研究者らが発表した論文「Hidden Secrets in the arXiv: Discovering, Analyzing, and Preventing Unintentional Information Disclosure in Source Files of Scientific Preprints」は、査読前論文を公開するWebサイト「arXiv」に投稿された論文から、個人情報や機密情報、意図しない情報が漏えいしているとする研究報告だ。
270万件の論文を分析、88%に意図しない情報が含まれていた
研究チームが1991年から25年分にわたって投稿された270万件の論文を分析した結果、全体の88%に当たる論文に著者が意図しない隠れた情報が含まれていたという。arXivでは、文書作成システム「LaTeX」で論文を書いた場合、元のLaTeXソースファイルをアップロードする決まりになっており、PDFと一緒にソースファイルも公開される(投稿の約93%がLaTeXで書かれている)。
LaTeXはプログラミングのように文字のコードを打ち込んで文書を作成するため、PDFには表示されない自分たち用のメモやコメントをソースファイル内に残すことができる。LaTeXソースに残されたコメントや不要ファイルはPDFには表示されないが、arXiv上ではソースファイルとして誰でも閲覧可能となる。
メールアドレス、パスワード、APIトークン、秘密鍵まで発見
これらのソースファイルを調査したところ、さまざまな情報が含まれていた。共同研究者間の議論や、本文では触れられていない論文の弱点を記したメモ、恥ずかしい下品な言葉まで残されていた。加えて、メールアドレスやパスワード、APIトークン、秘密鍵といった機密情報も発見されたという。
さらに、画像に埋め込まれたGPS情報から研究施設と住所の両方が読み取れ、研究者の行動を追跡できてしまうケースや、アクセス制限のかかっていない内部用GoogleドキュメントのURLから、未公開の査読内容や被験者の調査データが誰でも閲覧できる状態になっていた。皮肉なことにセキュリティ分野の論文の方が情報が多く含まれていた。
年々増加する情報漏えい、セキュリティ分野が最多
非公開情報を含む投稿の割合は年々増加しており、皮肉にもセキュリティ分野の論文が他分野より多く含んでいる。研究チームが著者にアンケートを実施した結果、ソースファイルが公開されることを知っていたのは全体の約4割に過ぎなかった。arXiv側は、機密情報が含まれていないか確認するのは著者の責任としており、投稿前に専用のクリーンアップツール(Googleの「arxiv_latex_cleaner」など)を使って不要なデータやコメントを自動で取り除くことを推奨している。
新ツール「ALC-NG」をオープンソースで公開
この事態に対処するため、研究チームは新たなツール「ALC-NG」を独自に開発し、オープンソースとして無償公開した。このツールは、ファイルの構造を正確に解析する技術を組み合わせることで、論文の見た目をできるだけ変えることなく、見えてはいけないコメントや不要な隠しファイルを既存ツールより高い精度で除去できるという。



