Trelloで企業から情報漏洩？ 【クラウドデータの公開範囲】

• 内閣官房内閣サイバーセキュリティセンター(NISC)が、タスク管理アプリ「Trello」での情報漏洩について注意喚起していました¹。
• これはTrelloサービスの問題ではなく、利用者がデータ公開範囲を間違って設定していた問題でした。

Trelloはたまに使っているので、急いで確認してみました💦

初期設定のままでも「非公開」なので、大丈夫な場合が多いと思います。

1. Trelloの公開範囲はすぐに確認できる

Trelloは、「することリスト」を共有するためのクラウドサービスです。

ボード名の横に「公開範囲」が表示されているので、すぐに確認できます。

通常は、公開範囲を「チーム」内にして利用すれば大丈夫です。
もし、よく確認せず「公開」していると、仕事上の情報が外部から閲覧できてしまいます。

チーム
チームのすべてのメンバーがこのボードを閲覧および編集できます。

公開
インターネットに接続（Google を含む）しているすべての人がこのボードを閲覧できます。ボードメンバーのみが編集できます。

Google検索にも巡回されてしまうのが、強烈です……。

クラウドサービスは、公開範囲を正しく設定して使いましょう。

2. ボードの初期設定では「非公開」

ちなみに初期設定は「非公開」になっています。
「公開」に変更しようとすると、
「誰でも閲覧でき、Google検索にも表示されるがよいか？」
と警告が出ます。

また、タスク管理ツールは個人情報を保管する場所ではありません。

「ボードを公開して、ファンと一緒にイベントを作り上げる」なんて使い方も想定できるので、「公開」機能に問題があったとも一概に言えません。

利用者がきちんと機能を理解して使う必要があります。

無料プランで組織外の人とやり取りするために、「公開」にしたのかなー？

3. Trelloからログアウトされていた

ちなみに確認のためにTrelloのボードにアクセスしたら、ログアウトされていました。

ボードが見つかりません

このボードは非公開のようです。ボードの設定によっては、ログインすると閲覧できる可能性があります。

「ログイン」からパスワードを入力すると、ちゃんと表示できました。

久しぶりに見に行ったからかもしれませんが、報道もあって、いったん全アカウントをログアウトしたのかな？

現在アトラシアンでは、問題が発生しているボードのプライバシー設定を確認するなど、ユーザーが意図しない情報の漏洩を止めるため、ユーザーのサポートに尽力しております。

Trelloの公開ボードについて2021年4月06日

こちらもどうぞ。

申込サイトで他人の個人情報が表示された？ 【サーバ キャッシュの落し穴】

通常は、「自分の入力したデータは、フォーム画面に残らない」のですが、ウェブサーバの設定ミスで個人情報が流出したケースはあります。過去のニュース報道を具体的に整理しながら、「キャッシュ」について考えてみましょう。ポイント・サービス会社の設定のミスで、個人情報が流出したことがある。・個人では防ぎようがないので、通知があればパスワードを変更する。・ただし 善意の人も気づくので、問題の表面化と解決は早い。サーバーのキャッシュ設定（キョードー東京の事例）実際に、「ほかの利用者の個人情報...

chiilabo.com

LINEトーク内容を暗号化して保護するには？ 【Letter Sealingの設定】

LINEメッセージの暗号化について確認してみましょう。LINEサーバに保存されるメッセージを自動的に暗号化すれば、送信相手以外に読めなくできます。ポイントLINEのメッセージは、設定で暗号化できる。過去のメッセージは暗号化されない。暗号化していても、インターネット上のやり取りには、常にリスクがある。ほとんどの人は初期設定でオンになっていますよ。トークの暗号化設定LINEの個人情報って大丈夫なのかな？LINEの個人情報保護について、いくつか気になるニュースがありました（2021...

chiilabo.com

1. 内閣サイバー(注意・警戒情報)さん: 「Trelloと呼ばれる、一般の方々も仕事管理などに活用できるwebサービスにおいて、適切な設定がなされていないユーザーの情報が外部から閲覧できる状態であることが確認されています。公開範囲の設定を確認し、意図せず公開となっている場合は、非公開とする等、適切な設定にしてください。 （続く）」 / X

QRコードを読み込むと、関連記事を確認できます。