本日のニュースの中に、かなり衝撃的な内容のものが。

それは、「情報漏洩」の話です。

 

リモートワーク需要や、業務迅速化などの流れを受け、パソコン上で仕事の進み具合（進捗状況）を管理するツールが重宝されていますが…。

その中の一つ。タスク管理ツール「Trello（トレロ）」にて、かなり深刻な情報漏洩が発生した模様です。

www.itmedia.co.jp（2021/4/6）

www.buzzfeed.com（2021/4/6）

forest.watch.impress.co.jp（2021/4/6）

www.buzzfeed.com（2021/4/6）

 

タスク管理ツールは、「仕事の進み具合を管理する」というもの。

当然、「交渉相手の個人情報」や「企業秘密」等の重要事項も管理対象になります。ツール内には、その手の情報がワンサカ。

この重要情報が、「ネットで誰でも自由に閲覧できる」という異常事態に。本名・住所・電話番号は序の口で、免許証やパスポートの情報などもダダ漏れだったとのこと。

 

中には、「企業の取引や交渉内容」に関する話も混じっており、関係者へのダメージは大きい。

前代未聞の、異常事態です。

 

------------------------------------------

 

情報を晒された関係者の方には、「お気の毒です」という感情しか湧かない。

相手を信頼して、様々な重要情報を預けたのに、世の中にばら撒かれたワケですからね。

 

ただ、今回の場合は、「Trello」の運営側に対しても同情を禁じ得ません。

何故なら、漏洩の原因は「Trello運営は、情報漏洩が起こりにくい設定にしていたのに、ユーザー側で設定を変えたこと」であると報じられている為です。

 

Trelloの初期設定では、「情報を、ネット上の不特定多数の者に公開しない」となっています。

が、ユーザー側で設定変更すれば、ネット上の誰もが閲覧可能な状況にできます。

今回の漏洩は、これが原因とされています。

 

更に悪いことに、設定を変えたユーザー側は、そこまで深刻だと思っていなかった。「仕事仲間の皆で使うツールだから、設定を”公開”に変更しておかないと、身内がアクセスできないよね？」くらいの感覚で”公開”にしたのでしょうか。

もしそうなら、それは大きな勘違い。大炎上なんてもんじゃない、巨大騒動を招く原因になってしまいました。

 

------------------------------------------

 

ちなみに、この「設定を”公開”に変更すると、何処の誰でも情報にアクセスできますよ。注意してくださいね」という話。少なくとも1年ほど前には、Trello運営からアナウンス済です。

Trello運営は、ちゃんと警告を発していたのです。

trello.com（2021/4/6閲覧）

blog.trello.com（2020/5/28）

非常に高い柔軟性を持つ Trello なら、プライバシー設定を調整することで、独自のワークフローに応じてボードをすぐに変換し、安全に保つことができます。

 

各 Trello ボードには、3 つのプライバシー設定があります。

●非公開
●チームに公開
●公開

ボードの使い方によって、これらの設定はさまざまな状況で役立ちます。適切な設定でプライバシーを管理する方法を見てみましょう。

ボード設定ごとのプライバシーオプションは次のとおりです:

 

●ボードがチームに公開の場合、チームのメンバーはカードの表示、加入、および編集が可能です。
●ボードが非公開の場合、該当するボードのメンバーだけが見ることができます。
●ボードが公開の場合は、ボードへのリンクを知っている人なら誰でも見ることができます。

（https://blog.trello.com/ja/how-to-transform-trello-workflow-privacy-settingsより。強調等は筆者によるもの）

 

要するに、Trelloは、

◆Wikipedia的な、「みんなに見て貰おうぜ！」という使い方も可能。
◆ごく一部の身内のみがアクセスを許可された、機密情報を扱うこともできる。
◆ユーザーの好みに合わせて、設定を使い分けて貰えればいい。ただ、デフォルト（初期設定）の段階では、”セキュリティ高め”に設定しておきます。

こういうスタンスで、サービスを提供していたのです。

 

上記アナウンスを、少なくとも1年前には発していた。この状況で、Trello側がバッシングを受けるのは気の毒です。

筆者の見る限り、運営に対するバッシングは発生していません。今のところは。

 

今後、「実は、Trello運営がハッキングを喰らっていた」という類の話が出たら、潮目は大きく変わるでしょうが…

そういう情報が出ない限り、運営を責めるのは理不尽かと。

 

------------------------------------------

 

騒ぎは、まだ始まったばかり。

しかし、内閣官房までが注意喚起を行っているので、相当深刻である様子が窺えます。

Trelloと呼ばれる、一般の方々も仕事管理などに活用できるwebサービスにおいて、適切な設定がなされていないユーザーの情報が外部から閲覧できる状態であることが確認されています。公開範囲の設定を確認し、意図せず公開となっている場合は、非公開とする等、適切な設定にしてください。

（続く）

— 内閣サイバー(注意・警戒情報) (@nisc_forecast) April 6, 2021

 

現在、Trelloのガードは上がっており、公開から非公開へと設定変更されたものが続出。

炎上発生初期に比べ、情報漏れは激減しています。

 

ただ、Web上に流れた情報は、そう簡単に消えてくれないもの。

ネットユーザーの誰もが閲覧可能ということは、情報を保存している人が多数いてもおかしくない。

今後、漏れた情報がどう使われるか、全く未知数。情報漏洩をやらかした組織は、逃げずに対応して貰いたいものです。

 

「今のところ、情報漏洩による被害は確認されていない」という決まり文句では、責任回避にならない。

「情報が悪用され、被害が出た」と判明するのは、ずっと先です。

 

 

--------------（記事了）--------------