Trello流出事件、二次災害に注意……3年前からの警鐘生かされず:古田拓也「今更聞けないお金とビジネス」(1/2 ページ)
免許証の画像や企業秘密にかかる情報が多数流出しているTrelloだが、実は今から3年も前の2018年3月時点で、このような事件の発生リスクを指摘する投稿が、エンジニアコミュニティの「Qiita」に投稿されていた。
免許証の画像や企業秘密にかかる情報が多数流出しているTrelloだが、実は今から3年も前の2018年3月時点で、このような事件の発生リスクの指摘が、エンジニアコミュニティの「Qiita」に投稿されていた。
“ググると色々なボードがヒットします。恐ろしいググラビリティの高さです。※悪用を推奨しているつもりではないですが、本当に簡単に色々ヒットしてしまいます。”
「うわっ…私のtrello、丸見え…?(簡易チェックツール付き)」より引用https://qiita.com/sakusrai/items/e3fb0d2fa59a85248ce6 @sakusrai
著者の@sakusrai氏は、公開ボードが衆目に触れることを避けるために非公開化の手順を紹介している。さらに発展的な対策として、TrelloのAPIを使って自分が参加しているボードが公開されていないか確認する方法も提示している。
同氏は「公開Trelloボードに機密情報を乗っけていて流出した、なんてことがないように皆さんお気をつけ下さい!」と結んでいるが、残念ながらその願いは果たされなかったようだ。
Trello側の対策は不十分?
この騒動につき、Trelloを運営するアトラシアン社は6日に声明を出した。
現在、Trello(トレロ)の一部ユーザーがボードの公開範囲を「公開」に設定したことに起因して、ボード内の情報がインターネット上に公開されている事象が発生しております。Trelloの初期設定ではボードは非公開になっており、ユーザーの任意で公開範囲を選択することが可能です。現在アトラシアンでは、問題が発生しているボードのプライバシー設定を確認するなど、ユーザーが意図しない情報の漏洩を止めるため、ユーザーのサポートに尽力しております。
ただし、この声明にあるようなサポートはいささか不十分ではないだろうか。なぜなら一番の問題は、Trelloのボードやカード名がGoogleなどの検索エンジンでヒットすることにあるからだ。
SEO的な側面で有利になる狙いがあったのか定かではないが、この場合「機密情報」のように、危なそうな単語を入れて検索されれば、顧客の免許証や企業秘密にアクセスされるリスクを飛躍的に高める。
さらにTrelloは、11年(日本語版は18年)から運営が開始された歴史の長いサービスであり、「ボードが公開されているがログイン情報が分からないためボードを消せない」ユーザーならまだしも、そもそも「公開されているボードで危ない情報を載せたことを忘れている」ユーザーを救うことはできない。
本来であれば、まずTrelloのボードを一律で「noindex」という検索エンジン避けのタグを付与したり、URLをハッシュ化したり、さらに緊急避難的な策としては「サービス側で一律全ボードを非公開化した上で、ユーザーの選択で改めて必要に応じて公開する」といった形を取らなければユーザーを保護することは難しいのではないか。
Trelloに機密情報を保存しており、それを公開状態で放置してしまっているユーザーは、さらなる秘匿レベルの高い情報が眠っている「Google Drive」といったクラウドストレージ上のドキュメントにもアクセスされる危険性が高いと考えられ、二次災害の恐れもある。
関連記事
- 楽天で相次ぐ“ポイント改悪”……それでも顧客は流出しない?
楽天ゴールドカードのポイント還元率が減少するまで、あと3週間を切った。楽天がポイントにメスを入れる背景には、国際会計基準(IFRS)ではポイント還元のカットは売上高を直接押し上げる効果があるからだ。一方で、このようなポイント還元のカットが今後幾分か重なったとしても、急激な顧客離れは起きにくいと考えている。なぜなら、顧客のスイッチングコストが大きいからだ。 - 4月1日から違法「税別表記」、ahamoは値下げで“2000円代”死守
スーパーでもよく見かける「298円(+税)」といった値札は、4月1日から違法となった。このような税々表示は、そもそも安倍政権下で実行された二度の消費税増税の際、増税するごとに必要な、値札の貼り替えやシステムを改修する事業者負担を軽減するための措置だ。その特例措置が、3月31日をもって期限を迎えたため、4月1日から税別表記は違法となる。 - 時短営業で“月180万円ボロ儲け”……ここがおかしい時短協力金制度
零細の個人経営飲食店と、大型の飲食チェーンでは、前者が弱者で後者が強者というイメージが先行しやすい。しかし、こと時短要請と休業補償の観点からいえばその構図は全く逆だ。都内で小規模なバーを営むある経営者は、濡れ手で粟のぼろもうけ状態であるという。 - 電通が史上最大の巨額赤字……高くついた「のれん代」の恐ろしさ
電通グループが15日に発表した2020年12月期の通期決算によれば、当年における最終赤字は同社としては史上最大の1595億円となった。しかし本業では黒字である。最大の要因は、海外事業における「のれん」の減損損失1403億円だ。 - “大赤字”日産が、契約社員の正社員化に踏み切ったワケ 期間工は対象外
日産自動車は同社の拠点で雇用する事務職約800人の契約社員を、原則全員正社員として登用することを決定したという。日産が契約社員の正社員化に踏み切った背景には、どんな要因が隠れているのだろうか。
Copyright © ITmedia, Inc. All Rights Reserved.