内閣官房内閣サイバーセキュリティセンター(NISC)が、タスク管理アプリ「Trello」での情報漏洩について注意喚起しています。
これはTrelloサービスの問題ではなく、利用者がデータ公開範囲を間違って設定していた問題でした。いちど確認してみましょう。
Trelloはたまに使っているので、急いで確認してみました💦
初期設定のままでも「非公開」なので、大丈夫な場合が多いと思います。
Trelloの公開範囲はすぐに確認できる
ボード名の横に「公開範囲」が表示されているので、すぐに確認できます。
Trelloと呼ばれる、一般の方々も仕事管理などに活用できるwebサービスにおいて、適切な設定がなされていないユーザーの情報が外部から閲覧できる状態であることが確認されています。公開範囲の設定を確認し、意図せず公開となっている場合は、非公開とする等、適切な設定にしてください。
— 内閣サイバー(注意・警戒情報) (@nisc_forecast) April 6, 2021
(続く)
Trelloは、「することリスト」を共有するためのクラウドサービスです。
通常は、公開範囲をチーム内にして利用すれば大丈夫ですが、よく確認せず「公開」していると、仕事上の情報が外部から閲覧できてしまいます。
クラウドサービスは、公開範囲を正しく設定して使いましょう。
チーム
チームのすべてのメンバーがこのボードを閲覧および編集できます。公開
インターネットに接続(Google を含む)しているすべての人がこのボードを閲覧できます。ボードメンバーのみが編集できます。
Google検索にも巡回されてしまうのが、強烈です……。
ボードの初期設定では「非公開」
ちなみに初期設定は「非公開」になっていて、公開に変更しようとすると「誰でも閲覧でき、Google検索にも表示されるがよいか?」と警告が出ます。
また、タスク管理ツールは個人情報を保管する場所ではありません。
「ボードを公開して、ファンとイベント一緒にイベントを作り上げる」なんて使い方も想定できるので、「公開」機能に問題があったとも一概に言えません。
利用者がきちんと機能を理解して使う必要があります。
無料プランで組織外の人とやり取りするために、「公開」にしたんですかねー?
Trelloからログアウトされていた
ちなみに確認のためにTrelloのボードにアクセスしたら、ログアウトされていました。
ボードが見つかりません
このボードは非公開のようです。ボードの設定によっては、ログインすると閲覧できる可能性があります。
「ログイン」からパスワードを入力すると、ちゃんと表示できました。
久しぶりに見に行ったからかもしれませんが、報道もあって、いったん全アカウントをログアウトしたのかな?
現在アトラシアンでは、問題が発生しているボードのプライバシー設定を確認するなど、ユーザーが意図しない情報の漏洩を止めるため、ユーザーのサポートに尽力しております。
Trelloの公開ボードについて2021年4月06日
↑ Trello公式サイトでの注意喚起。
こちらもどうぞ。
