- 内閣官房内閣サイバーセキュリティセンター(NISC)が、タスク管理アプリ「Trello」での情報漏洩について注意喚起していました1。
- これはTrelloサービスの問題ではなく、利用者がデータ公開範囲を間違って設定していた問題でした。
Trelloはたまに使っているので、急いで確認してみました💦
初期設定のままでも「非公開」なので、大丈夫な場合が多いと思います。
1. Trelloの公開範囲はすぐに確認できる
Trelloは、「することリスト」を共有するためのクラウドサービスです。
ボード名の横に「公開範囲」が表示されているので、すぐに確認できます。
通常は、公開範囲を「チーム」内にして利用すれば大丈夫です。
もし、よく確認せず「公開」していると、仕事上の情報が外部から閲覧できてしまいます。
チーム
チームのすべてのメンバーがこのボードを閲覧および編集できます。公開
インターネットに接続(Google を含む)しているすべての人がこのボードを閲覧できます。ボードメンバーのみが編集できます。
Google検索にも巡回されてしまうのが、強烈です……。
クラウドサービスは、公開範囲を正しく設定して使いましょう。
2. ボードの初期設定では「非公開」
ちなみに初期設定は「非公開」になっています。
「公開」に変更しようとすると、
「誰でも閲覧でき、Google検索にも表示されるがよいか?」
と警告が出ます。
また、タスク管理ツールは個人情報を保管する場所ではありません。
「ボードを公開して、ファンと一緒にイベントを作り上げる」なんて使い方も想定できるので、「公開」機能に問題があったとも一概に言えません。
利用者がきちんと機能を理解して使う必要があります。
無料プランで組織外の人とやり取りするために、「公開」にしたのかなー?
3. Trelloからログアウトされていた
ちなみに確認のためにTrelloのボードにアクセスしたら、ログアウトされていました。
ボードが見つかりません
このボードは非公開のようです。ボードの設定によっては、ログインすると閲覧できる可能性があります。
「ログイン」からパスワードを入力すると、ちゃんと表示できました。
久しぶりに見に行ったからかもしれませんが、報道もあって、いったん全アカウントをログアウトしたのかな?
現在アトラシアンでは、問題が発生しているボードのプライバシー設定を確認するなど、ユーザーが意図しない情報の漏洩を止めるため、ユーザーのサポートに尽力しております。
Trelloの公開ボードについて2021年4月06日
こちらもどうぞ。
(補足)
- 内閣サイバー(注意・警戒情報)さん: 「Trelloと呼ばれる、一般の方々も仕事管理などに活用できるwebサービスにおいて、適切な設定がなされていないユーザーの情報が外部から閲覧できる状態であることが確認されています。公開範囲の設定を確認し、意図せず公開となっている場合は、非公開とする等、適切な設定にしてください。 (続く)」 / X