Notionの「公開する」が危ない——2022年から続く認証不要APIによる個人情報漏洩の実態

2026年4月20日、セキュリティ研究者の@weezerOSINTは、Notionのパブリックページが認証不要のAPIを通じて編集者の氏名・メールアドレス・プロフィール画像を外部に公開できる状態にあることを明らかにした。

この問題は2022年7月28日にHackerOneを通じて最初に報告されたが、「情報提供（informative）」として処理され、修正・CVE番号の割り当て・報奨金の支払いはいずれも行われなかった。2026年4月時点でも挙動は変わっておらず、企業価値約110億ドルのNotionが提供する「Publish to web」機能を使ったページが対象となる。研究者はNotionのコミュニティページから13件のUUIDを抽出し、うち12件をメールアドレスへの解決に成功した。Notionのマックス・ショーニングは現在の実装が不十分であることを認め、修正を検討中であると述べた。

From: Notion pages have leaked user data via an unauthenticated API since 2022

【編集部解説】

今回の問題を理解するには、まず「なぜNotionのパブリックページを公開するだけで、他者のメールアドレスが漏れるのか」という構造を押さえる必要があります。

Notionでページを「Publish to web」すると、そのページのHTMLソースコードの中に、編集者を識別するための固有番号（UUID）が埋め込まれます。本来この番号は内部管理用のIDに過ぎないはずですが、Notionのバックエンドが持つAPIエンドポイント /api/v3/syncRecordValuesMain は、このUUIDを受け取ると認証なしにユーザーの氏名・メールアドレス・プロフィール画像を返してしまいます。つまり「ページを公開する」という一般ユーザーが普通に行う操作が、自動的に情報漏洩の引き金になっていたわけです。

さらに深刻なのは、別のエンドポイント getLoginOptions を組み合わせることで、そのアカウントがパスワード認証なのかSSO（シングルサインオン）なのかまで判別できる点です。メールアドレス＋認証方式の組み合わせは、フィッシングやクレデンシャルスタッフィング（流出済みパスワードを別サービスで試す攻撃）のターゲットリストとして、そのまま悪用できる精度を持っています。

注目すべきは、Notionが2022年7月28日の最初の報告をHackerOneで「informative（情報提供）」として処理した点です。バグバウンティの文脈で「informative」とは、「脆弱性としては認識するが、修正・報奨金の対象外」という扱いを意味します。企業がAPIの設計思想として「パブリックページの情報はオープンなもの」と位置づけていたとすれば、この判断は理解できなくもありません。しかし結果として、その判断が約4年間にわたる放置につながりました。

影響範囲という観点では、Notionが企業のヘルプセンターや採用ページ、オープンソースのプロジェクトボードとして広く使われている現状が問題を拡大しています。大規模な企業Wikiが公開されていれば、編集に関わった全従業員のメールアドレスが一括で取得される可能性があります。Googleなどの検索エンジンでインデックスされたNotionページは無数に存在しており、スクレイピングツールを使えば組織的な情報収集も容易です。

規制面でも見過ごせない論点があります。NotionはGDPRにおける「データ処理者（data processor）」として位置づけられており、GDPR第33条は「データ侵害が発生した場合の通知義務」を規定しています。今回のケースが意図的なAPIの設計仕様なのか、それとも「侵害」として扱われるべきなのかは、監督機関によって異なる判断が下される可能性があり、Notionが今後どう説明するかが注目されます。

一方で、今回の騒動がポジティブな変化の契機になり得る側面もあります。Notionのマックス・ショーニングが言及したGitHub方式のメールプロキシは、実際にGitHubが数年前から採用しているアプローチで、公開コミットに紐づくメールアドレスをマスクする仕組みです。この方向で実装が進めば、Notionのパブリックページは今よりはるかにプライバシーに配慮した設計になります。コラボレーションプラットフォーム全体にとっても、「APIのパブリックエンドポイントに個人情報を返させない」という設計原則を再考する契機になり得るでしょう。

長期的な視点で見ると、本件はSaaS全般が抱える構造的な課題を象徴しています。利便性とオープン性を追求した設計が、後からプライバシーリスクとして顕在化するケースは珍しくありません。「公開した」という事実と「個人情報を意図せず晒した」という事実が同時に発生する設計は、今後の規制強化の流れの中でますます許容されにくくなります。ユーザーとしては、「公開する＝全情報がオープンになる可能性がある」という前提でプラットフォームを選ぶ目線が、今まで以上に重要になってくるでしょう。

【用語解説】

UUID（ユニバーサルユニークID）
システム内でユーザーやデータを一意に識別するために割り当てられる128ビットの識別子。「8-4-4-4-12」の形式で表される英数字の文字列で、重複が発生しないよう設計されている。Notionでは各編集者にUUIDが付与されており、これがパブリックページのソースコードに埋め込まれていることが今回の問題の起点となった。

APIエンドポイント
外部のプログラムやシステムがサービスにアクセスするための「窓口」となるURL。今回問題となった /api/v3/syncRecordValuesMain は、UUIDを送信するとユーザー情報を返すNotionの内部エンドポイントであり、本来は認証が必要なはずの処理が認証なしに実行できる状態になっていた。

PII（個人識別情報）
Personally Identifiable Informationの略。氏名・メールアドレス・電話番号・顔写真など、特定の個人を識別できる情報の総称。今回の問題では氏名・メールアドレス・プロフィール画像の3点が該当する。

CVE
Common Vulnerabilities and Exposuresの略。公式に認定・番号付けされたソフトウェアの脆弱性リスト。CVE番号が付与されることで、脆弱性が業界全体で共有・追跡される。今回の問題はHackerOneで「informative」として処理されたため、CVE番号の割り当ては行われなかった。

バグバウンティ
企業がセキュリティ研究者に対し、製品の脆弱性を発見・報告した報酬として金銭を支払うプログラム。HackerOneはその代表的なプラットフォーム。「informative」はトリアージ（優先度判定）の結果の一つで、「情報として受け取るが、対応・報奨金の対象外」を意味する。

SSO（シングルサインオン）
Single Sign-Onの略。一度の認証で複数のサービスにログインできる仕組み。今回の問題では、getLoginOptions エンドポイントによってアカウントがパスワード認証かSSO認証かを外部から判別できてしまうことが、攻撃の精度を高める要因となっている。

クレデンシャルスタッフィング
過去の情報漏洩などで入手したIDとパスワードの組み合わせを、別のサービスに対して大量に試す攻撃手法。今回のように「メールアドレス＋認証方式」が判明している場合、標的を絞った効率的な攻撃が可能になる。

GDPR（一般データ保護規則）
EU（欧州連合）が2018年に施行した個人データ保護に関する規則。データ侵害が発生した場合、72時間以内に監督機関へ通知する義務（第33条）などが定められている。NotionはGDPRにおいて「データ処理者（data processor）」として位置づけられており、今回の問題がGDPRの観点からどう判断されるかが注目される。

メールプロキシ
ユーザーの実際のメールアドレスを隠蔽し、代替アドレスを経由させることでプライバシーを保護する仕組み。GitHubがパブリックコミットに対して採用しているアプローチとして、Notionの修正案の一つとして挙げられている。

SaaS
Software as a Serviceの略。インターネット経由でソフトウェアを提供するサービス形態。Notionはその代表例であり、ユーザーはインストール不要でブラウザからアクセスできる。利便性の高さの反面、パブリック設定のミスや設計上の問題がそのまま情報漏洩につながるリスクを内包している。

【参考リンク】

Notion（外部）
個人・チーム・企業向けのオールインワン型コラボレーションプラットフォーム。ドキュメント・データベース・プロジェクト管理を統合し、企業価値約110億ドルと評価されている。

HackerOne（外部）
企業と外部セキュリティ研究者をつなぐバグバウンティプラットフォーム。今回の問題は2022年7月にここで最初に報告されたが、「informative」として処理され修正には至らなかった。

GitHub（外部）
世界最大のソースコード管理・コラボレーションプラットフォーム。Notionの修正案として言及されたメールプロキシの仕組みをパブリックコミットに対してすでに実装している。

【参考記事】

Public Notion Pages Leaks Profile Photos and Email address of Editors｜Cyber Security News（外部）
@weezerOSINTと@k1rallikによる実証内容を詳細に解説。エンドポイントの技術的仕組みとNotionの対応策（PIIの削除またはメールプロキシ導入）を報じている。

Public Notion Pages Expose Editors’ Profile Photos and Email Addresses｜GBHackers（外部）
2022年7月の最初の報告から2026年4月の再浮上までを時系列で整理。Notionの「警告している」という主張に対する研究者の反論も収録している。

Public Notion Pages Expose Profile Photos and Email Addresses of Editors｜Cyber Press（外部）
UUIDの抽出からPOSTリクエストによるPII取得までの技術フローを段階的に整理。企業Wikiが攻撃対象となるリスクと即時対応策を具体的に説明している。

Hi, this is Max from Notion.｜Hacker News（外部）
Notionのマックス・ショーニングが現在の実装の不十分さを認め、PIIの除去またはGitHub方式のメールプロキシ導入を検討中と直接表明した一次情報のスレッド。