makaran宝箱

時事ネタ・法律・エンタメなどなど、様々な話題を分かりやすく&面白く味付けしてお届け!

【情報漏洩の話】「漏れた」のではなく、「自ら晒した」

本日のニュースの中に、かなり衝撃的な内容のものが。

それは、「情報漏洩」の話です。

 

リモートワーク需要や、業務迅速化などの流れを受け、パソコン上で仕事の進み具合(進捗状況)を管理するツールが重宝されていますが…。

その中の一つ。タスク管理ツール「Trello(トレロ)」にて、かなり深刻な情報漏洩が発生した模様です。

www.itmedia.co.jp(2021/4/6)

www.buzzfeed.com(2021/4/6)

forest.watch.impress.co.jp(2021/4/6)

www.buzzfeed.com(2021/4/6)

 

タスク管理ツールは、「仕事の進み具合を管理する」というもの。

当然、「交渉相手の個人情報」や「企業秘密」等の重要事項も管理対象になります。ツール内には、その手の情報がワンサカ。

この重要情報が、「ネットで誰でも自由に閲覧できる」という異常事態に。本名・住所・電話番号は序の口で、免許証やパスポートの情報などもダダ漏れだったとのこと。

 

中には、「企業の取引や交渉内容」に関する話も混じっており、関係者へのダメージは大きい。

前代未聞の、異常事態です。

 

------------------------------------------

 

情報を晒された関係者の方には、「お気の毒です」という感情しか湧かない。

相手を信頼して、様々な重要情報を預けたのに、世の中にばら撒かれたワケですからね。

 

ただ、今回の場合は、「Trello」の運営側に対しても同情を禁じ得ません。

何故なら、漏洩の原因は「Trello運営は、情報漏洩が起こりにくい設定にしていたのに、ユーザー側で設定を変えたことであると報じられている為です。

 

Trelloの初期設定では、「情報を、ネット上の不特定多数の者に公開しない」となっています。

が、ユーザー側で設定変更すれば、ネット上の誰もが閲覧可能な状況にできます。

今回の漏洩は、これが原因とされています。

 

更に悪いことに、設定を変えたユーザー側は、そこまで深刻だと思っていなかった。「仕事仲間の皆で使うツールだから、設定を”公開”に変更しておかないと、身内がアクセスできないよね?」くらいの感覚で”公開”にしたのでしょうか。

もしそうなら、それは大きな勘違い。大炎上なんてもんじゃない、巨大騒動を招く原因になってしまいました。

 

------------------------------------------

 

ちなみに、この「設定を”公開”に変更すると、何処の誰でも情報にアクセスできますよ。注意してくださいね」という話。少なくとも1年ほど前には、Trello運営からアナウンス済です。

Trello運営は、ちゃんと警告を発していたのです。

trello.com(2021/4/6閲覧)

blog.trello.com(2020/5/28)

非常に高い柔軟性を持つ Trello なら、プライバシー設定を調整することで、独自のワークフローに応じてボードをすぐに変換し、安全に保つことができます。

 

各 Trello ボードには、3 つのプライバシー設定があります。

●非公開
●チームに公開
●公開

ボードの使い方によって、これらの設定はさまざまな状況で役立ちます。適切な設定でプライバシーを管理する方法を見てみましょう。

ボード設定ごとのプライバシーオプションは次のとおりです:

 

ボードがチームに公開の場合、チームのメンバーはカードの表示、加入、および編集が可能です。
ボードが非公開の場合、該当するボードのメンバーだけが見ることができます。
ボードが公開の場合は、ボードへのリンクを知っている人なら誰でも見ることができます

https://blog.trello.com/ja/how-to-transform-trello-workflow-privacy-settingsより。強調等は筆者によるもの)

 

要するに、Trelloは、

◆Wikipedia的な、「みんなに見て貰おうぜ!」という使い方も可能。
◆ごく一部の身内のみがアクセスを許可された、機密情報を扱うこともできる。
◆ユーザーの好みに合わせて、設定を使い分けて貰えればいい。ただ、デフォルト(初期設定)の段階では、”セキュリティ高め”に設定しておきます。

こういうスタンスで、サービスを提供していたのです。

 

上記アナウンスを、少なくとも1年前には発していた。この状況で、Trello側がバッシングを受けるのは気の毒です。

筆者の見る限り、運営に対するバッシングは発生していません。今のところは。

 

今後、「実は、Trello運営がハッキングを喰らっていた」という類の話が出たら、潮目は大きく変わるでしょうが…

そういう情報が出ない限り、運営を責めるのは理不尽かと。

 

------------------------------------------

 

騒ぎは、まだ始まったばかり。

しかし、内閣官房までが注意喚起を行っているので、相当深刻である様子が窺えます。

 

現在、Trelloのガードは上がっており、公開から非公開へと設定変更されたものが続出。

炎上発生初期に比べ、情報漏れは激減しています。

 

ただ、Web上に流れた情報は、そう簡単に消えてくれないもの。

ネットユーザーの誰もが閲覧可能ということは、情報を保存している人が多数いてもおかしくない。

今後、漏れた情報がどう使われるか、全く未知数。情報漏洩をやらかした組織は、逃げずに対応して貰いたいものです。

 

「今のところ、情報漏洩による被害は確認されていない」という決まり文句では、責任回避にならない。

「情報が悪用され、被害が出た」と判明するのは、ずっと先です。

 

 

--------------(記事了)--------------

 

 

あなたのセキュリティ対応間違っています

あなたのセキュリティ対応間違っています

  • 作者:辻 伸弘
  • 発売日: 2016/10/21
  • メディア: 単行本