2021年4月5日夜に発覚した、タスク管理ツールTrelloでの情報漏洩事件。原因はシステム的な問題ではなく人為的な問題なのですが、実は様々なシーンで似たようなケースを目にするので、それらも含めて解説したいと思います。
事の発端は、Googleに「Trelloで作成したタスク」が多数インデックスされているのを発見した人が匿名掲示板「5ちゃんねる」にスレッドを立てた事でした。それをTwitterに投稿した人がいて一気に大騒ぎになったという印象です。なにしろ、大量の個人情報が漏洩している事が発覚したのですから。
その段階でIT関係者による原因の推測は「システムのデフォルトが公開」になっているのではないかというものが多数でしたが、弊社では4年前からTrelloを使っているので利用者が「意図的」に「公開」に設定変更したものであると把握していました。代表個人のSNSにその旨投稿しております。
参考までに画面を貼っておきます。
デフォルトの状態ですが「チームにのみ公開」にチェックが入っているのが判ります。
その後の報道でも、他者と情報共有するために「公開」にしたと伝えられています。本来であれば共有したい他者をチームに入れるべきなのですが、面倒だったのか公開にしてしまったようです。ちなみに、「公開」の所にはGoogleにも公開される旨が書かれています。
実は、この手の漏洩って初めてではないんですよ。以前から繰り返されていて、例えばGoogleグループとかでのやりとりが漏洩したりとかありましたし、今でも検索エンジンで「社外秘」とか検索すると多くの機密情報らしきものが出てきたりします。
ウェブ制作現場で良く聞く話では類似の例として、制作したウェブサイトが巧く動かないからディレクトリの権限設定を「chmod -R 777」とかしてしまうと言う話があります。ウェブ制作会社でVPSを借り、多くの顧客のサイトを収容している場合、これをやると1サイトの脆弱性を突かれた結果としてサーバー内の全サイトを改竄されてしまいます。実際、それらしき事例を多く見かけます。要注意ですね。
また、今回のTrelloでは、報道されている内容をよく見ると「会社に断りなく」使っているという例もあったようです。クラウド時代になったおかげで簡単に無料で使えるツールが公開されているため、無断で使用してしまう例が後を絶たないというのもあるのでしょう。
御社でも無断でクラウドサービスを使っている例があるかもしれません。場合によっては今回のように情報漏洩に繋がる可能性があります。一度、社内の精査をしてみてはいかがでしょうか?
漏れてからでは遅いのです。
ちなみに、今回のTrelloでの情報漏洩事件では「絶対に削除してくれない事で有名な魚拓サイト」に多数の魚拓が取られている事が確認できています。個人情報を漏らされた方にはデジタルタトゥとして残ってしまう上に、最悪の場合は転居しなければならない事態も発生しそうです。
安易に使って、かつ、使い方を誤った程度とは言え、被害は甚大である事はもっと報道されても良いかと思います。