本日のニュースの中に、かなり衝撃的な内容のものが。
それは、「情報漏洩」の話です。
リモートワーク需要や、業務迅速化などの流れを受け、パソコン上で仕事の進み具合(進捗状況)を管理するツールが重宝されていますが…。
その中の一つ。タスク管理ツール「Trello(トレロ)」にて、かなり深刻な情報漏洩が発生した模様です。
www.itmedia.co.jp(2021/4/6)
www.buzzfeed.com(2021/4/6)
forest.watch.impress.co.jp(2021/4/6)
www.buzzfeed.com(2021/4/6)
タスク管理ツールは、「仕事の進み具合を管理する」というもの。
当然、「交渉相手の個人情報」や「企業秘密」等の重要事項も管理対象になります。ツール内には、その手の情報がワンサカ。
この重要情報が、「ネットで誰でも自由に閲覧できる」という異常事態に。本名・住所・電話番号は序の口で、免許証やパスポートの情報などもダダ漏れだったとのこと。
中には、「企業の取引や交渉内容」に関する話も混じっており、関係者へのダメージは大きい。
前代未聞の、異常事態です。
------------------------------------------
情報を晒された関係者の方には、「お気の毒です」という感情しか湧かない。
相手を信頼して、様々な重要情報を預けたのに、世の中にばら撒かれたワケですからね。
ただ、今回の場合は、「Trello」の運営側に対しても同情を禁じ得ません。
何故なら、漏洩の原因は「Trello運営は、情報漏洩が起こりにくい設定にしていたのに、ユーザー側で設定を変えたこと」であると報じられている為です。
Trelloの初期設定では、「情報を、ネット上の不特定多数の者に公開しない」となっています。
が、ユーザー側で設定変更すれば、ネット上の誰もが閲覧可能な状況にできます。
今回の漏洩は、これが原因とされています。
更に悪いことに、設定を変えたユーザー側は、そこまで深刻だと思っていなかった。「仕事仲間の皆で使うツールだから、設定を”公開”に変更しておかないと、身内がアクセスできないよね?」くらいの感覚で”公開”にしたのでしょうか。
もしそうなら、それは大きな勘違い。大炎上なんてもんじゃない、巨大騒動を招く原因になってしまいました。
------------------------------------------
ちなみに、この「設定を”公開”に変更すると、何処の誰でも情報にアクセスできますよ。注意してくださいね」という話。少なくとも1年ほど前には、Trello運営からアナウンス済です。
Trello運営は、ちゃんと警告を発していたのです。
trello.com(2021/4/6閲覧)
blog.trello.com(2020/5/28)
非常に高い柔軟性を持つ Trello なら、プライバシー設定を調整することで、独自のワークフローに応じてボードをすぐに変換し、安全に保つことができます。
各 Trello ボードには、3 つのプライバシー設定があります。
●非公開
●チームに公開
●公開ボードの使い方によって、これらの設定はさまざまな状況で役立ちます。適切な設定でプライバシーを管理する方法を見てみましょう。
ボード設定ごとのプライバシーオプションは次のとおりです:
●ボードがチームに公開の場合、チームのメンバーはカードの表示、加入、および編集が可能です。
●ボードが非公開の場合、該当するボードのメンバーだけが見ることができます。
●ボードが公開の場合は、ボードへのリンクを知っている人なら誰でも見ることができます。
(https://blog.trello.com/ja/how-to-transform-trello-workflow-privacy-settingsより。強調等は筆者によるもの)
要するに、Trelloは、
◆Wikipedia的な、「みんなに見て貰おうぜ!」という使い方も可能。
◆ごく一部の身内のみがアクセスを許可された、機密情報を扱うこともできる。
◆ユーザーの好みに合わせて、設定を使い分けて貰えればいい。ただ、デフォルト(初期設定)の段階では、”セキュリティ高め”に設定しておきます。
こういうスタンスで、サービスを提供していたのです。
上記アナウンスを、少なくとも1年前には発していた。この状況で、Trello側がバッシングを受けるのは気の毒です。
筆者の見る限り、運営に対するバッシングは発生していません。今のところは。
今後、「実は、Trello運営がハッキングを喰らっていた」という類の話が出たら、潮目は大きく変わるでしょうが…
そういう情報が出ない限り、運営を責めるのは理不尽かと。
------------------------------------------
騒ぎは、まだ始まったばかり。
しかし、内閣官房までが注意喚起を行っているので、相当深刻である様子が窺えます。
Trelloと呼ばれる、一般の方々も仕事管理などに活用できるwebサービスにおいて、適切な設定がなされていないユーザーの情報が外部から閲覧できる状態であることが確認されています。公開範囲の設定を確認し、意図せず公開となっている場合は、非公開とする等、適切な設定にしてください。
— 内閣サイバー(注意・警戒情報) (@nisc_forecast) April 6, 2021
(続く)
現在、Trelloのガードは上がっており、公開から非公開へと設定変更されたものが続出。
炎上発生初期に比べ、情報漏れは激減しています。
ただ、Web上に流れた情報は、そう簡単に消えてくれないもの。
ネットユーザーの誰もが閲覧可能ということは、情報を保存している人が多数いてもおかしくない。
今後、漏れた情報がどう使われるか、全く未知数。情報漏洩をやらかした組織は、逃げずに対応して貰いたいものです。
「今のところ、情報漏洩による被害は確認されていない」という決まり文句では、責任回避にならない。
「情報が悪用され、被害が出た」と判明するのは、ずっと先です。
--------------(記事了)--------------