Trello流出事件、二次災害に注意……3年前からの警鐘生かされず古田拓也「今更聞けないお金とビジネス」(1/2 ページ)

» 2021年04月09日 07時00分 公開
[古田拓也ITmedia]

 免許証の画像や企業秘密にかかる情報が多数流出しているTrelloだが、実は今から3年も前の2018年3月時点で、このような事件の発生リスクの指摘が、エンジニアコミュニティの「Qiita」に投稿されていた。

 “ググると色々なボードがヒットします。恐ろしいググラビリティの高さです。※悪用を推奨しているつもりではないですが、本当に簡単に色々ヒットしてしまいます。”

「うわっ…私のtrello、丸見え…?(簡易チェックツール付き)」より引用https://qiita.com/sakusrai/items/e3fb0d2fa59a85248ce6 @sakusrai

 著者の@sakusrai氏は、公開ボードが衆目に触れることを避けるために非公開化の手順を紹介している。さらに発展的な対策として、TrelloのAPIを使って自分が参加しているボードが公開されていないか確認する方法も提示している。

 同氏は「公開Trelloボードに機密情報を乗っけていて流出した、なんてことがないように皆さんお気をつけ下さい!」と結んでいるが、残念ながらその願いは果たされなかったようだ。

アトラシアンが提供するオンラインToDoツール「Trello」

Trello側の対策は不十分?

 この騒動につき、Trelloを運営するアトラシアン社は6日に声明を出した。

 現在、Trello(トレロ)の一部ユーザーがボードの公開範囲を「公開」に設定したことに起因して、ボード内の情報がインターネット上に公開されている事象が発生しております。Trelloの初期設定ではボードは非公開になっており、ユーザーの任意で公開範囲を選択することが可能です。現在アトラシアンでは、問題が発生しているボードのプライバシー設定を確認するなど、ユーザーが意図しない情報の漏洩を止めるため、ユーザーのサポートに尽力しております。

 ただし、この声明にあるようなサポートはいささか不十分ではないだろうか。なぜなら一番の問題は、Trelloのボードやカード名がGoogleなどの検索エンジンでヒットすることにあるからだ。

 SEO的な側面で有利になる狙いがあったのか定かではないが、この場合「機密情報」のように、危なそうな単語を入れて検索されれば、顧客の免許証や企業秘密にアクセスされるリスクを飛躍的に高める。

 さらにTrelloは、11年(日本語版は18年)から運営が開始された歴史の長いサービスであり、「ボードが公開されているがログイン情報が分からないためボードを消せない」ユーザーならまだしも、そもそも「公開されているボードで危ない情報を載せたことを忘れている」ユーザーを救うことはできない。

 本来であれば、まずTrelloのボードを一律で「noindex」という検索エンジン避けのタグを付与したり、URLをハッシュ化したり、さらに緊急避難的な策としては「サービス側で一律全ボードを非公開化した上で、ユーザーの選択で改めて必要に応じて公開する」といった形を取らなければユーザーを保護することは難しいのではないか。

 Trelloに機密情報を保存しており、それを公開状態で放置してしまっているユーザーは、さらなる秘匿レベルの高い情報が眠っている「Google Drive」といったクラウドストレージ上のドキュメントにもアクセスされる危険性が高いと考えられ、二次災害の恐れもある。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.