Trello流出事件、二次災害に注意……3年前からの警鐘生かされず:古田拓也「今更聞けないお金とビジネス」(2/2 ページ)
免許証の画像や企業秘密にかかる情報が多数流出しているTrelloだが、実は今から3年も前の2018年3月時点で、このような事件の発生リスクを指摘する投稿が、エンジニアコミュニティの「Qiita」に投稿されていた。
本当に怖いのはGoogle Driveの漏洩(ろうえい)・改ざん?
確かにTrelloでは、公開されているタスク管理ボードまではGoogleなどで簡単にたどり着けるものの、基本的にはテキストベースでタスクが管理されるような使い方がされており、免許証の画像や個人情報といった機密性の高い情報をアップロードし、そのまま公開状態で放置されていることは全体の割合としては小さい。
しかし、企業や団体におけるあらゆる情報が保存され得るGoogle Driveなどのクラウドストレージでは、企業秘密に関わるドキュメントや顧客・従業員の機微情報など、仮に衆目にさらされてしまえば取り返しのつかないデータが数多く保存されていると考えられる。
Trelloのタスク管理カードの中に、関連ドキュメントとしてGoogle Driveのリンクが添付されているような場合、それが「リンクを知っている人全員」または「インターネット上に公開」としていれば、設定によっては企業の財務情報を閲覧されるだけでなく改ざんされるなどの深刻な事態に発展しかねず、非常に危険である。そして、「リンクを知っている人全員」という設定は決して少なくない場面で利用されているのが現状だ。
例えば、社外の関係者や業務委託のメンバーにある業務を依頼しているような場合、これは要注意だ。
組織外のメンバーにドキュメントを共有する際は、対象となるメールアドレスをひとつずつホワイトリストに入れることで外部メンバーがアクセスできるようにすることが基本である。しかし、「社外メンバーが多く招待がめんどくさいという理由」や、「リンクを知っている人全員に共有する」といった、便利そうなやり方が選ばれることもあるだろう。
しかし、信頼できるメールアドレスにのみドキュメントの閲覧/編集権限を付与することと、ドキュメントのアドレスを知っているメンバーが信頼できるとして権限が付与されることは全く意味が異なってくる。
確かに、クラウドストレージに存在するドキュメントは、公開設定でない限り、通常検索エンジンにヒットしてくることはないだろう。しかし、リンクを知っている人全員がアクセスできる設定の場合、今回のTrelloのような流出事案との組み合わせで秘匿性の高い情報にアクセスされてしまう危険性が高い。Trelloの流出騒動を機に、外部の利用者が存在するクラウドストレージの利用者やリンクの公開状況などを一度棚卸ししてみることが必要だ。
深刻な二次災害が生まれる危険性も
Trelloの炎上が加速した背景には、公開されている情報に簡単にアクセスできることで、ボードを閲覧するという興味本位のアクセスが増加したことにある。銀行口座のIDやパスワードがTrelloに書かれていたとしても、引き出しの際には多要素認証が求められるし、振込先の口座やインターネットの設定を偽装しておくなど、高度な犯罪の知見がなければ足がついてしまうため、現時点ではTrelloのボード公開事件が不正出金などの二次的な被害にまでは発展していないようだ。
しかし、公開される時間が長ければ長いほど、口座の偽装や多要素認証を突破する高度な犯罪の猶予が生まれ、二次的被害の可能性は加速度的に高まってくる。Trello側にはプラットフォームとしての責任として、事態の収束に向けて大胆かつ迅速な決断が求められる。他方で、企業や個人であってもこの騒動をきっかけに情報を「公開」するリスクをしっかりと認識し自衛策を講じていかなければならない。
筆者プロフィール:古田拓也 オコスモ代表/1級FP技能士
中央大学法学部卒業後、Finatextに入社し、グループ証券会社スマートプラスの設立やアプリケーションの企画開発を行った。現在はFinatextのサービスディレクターとして勤務し、法人向けのサービス企画を行う傍ら、オコスモの代表としてメディア記事の執筆・監修を手掛けている。
Twitterはこちら
関連記事
- 楽天で相次ぐ“ポイント改悪”……それでも顧客は流出しない?
楽天ゴールドカードのポイント還元率が減少するまで、あと3週間を切った。楽天がポイントにメスを入れる背景には、国際会計基準(IFRS)ではポイント還元のカットは売上高を直接押し上げる効果があるからだ。一方で、このようなポイント還元のカットが今後幾分か重なったとしても、急激な顧客離れは起きにくいと考えている。なぜなら、顧客のスイッチングコストが大きいからだ。 - 4月1日から違法「税別表記」、ahamoは値下げで“2000円代”死守
スーパーでもよく見かける「298円(+税)」といった値札は、4月1日から違法となった。このような税々表示は、そもそも安倍政権下で実行された二度の消費税増税の際、増税するごとに必要な、値札の貼り替えやシステムを改修する事業者負担を軽減するための措置だ。その特例措置が、3月31日をもって期限を迎えたため、4月1日から税別表記は違法となる。 - 時短営業で“月180万円ボロ儲け”……ここがおかしい時短協力金制度
零細の個人経営飲食店と、大型の飲食チェーンでは、前者が弱者で後者が強者というイメージが先行しやすい。しかし、こと時短要請と休業補償の観点からいえばその構図は全く逆だ。都内で小規模なバーを営むある経営者は、濡れ手で粟のぼろもうけ状態であるという。 - 電通が史上最大の巨額赤字……高くついた「のれん代」の恐ろしさ
電通グループが15日に発表した2020年12月期の通期決算によれば、当年における最終赤字は同社としては史上最大の1595億円となった。しかし本業では黒字である。最大の要因は、海外事業における「のれん」の減損損失1403億円だ。 - “大赤字”日産が、契約社員の正社員化に踏み切ったワケ 期間工は対象外
日産自動車は同社の拠点で雇用する事務職約800人の契約社員を、原則全員正社員として登用することを決定したという。日産が契約社員の正社員化に踏み切った背景には、どんな要因が隠れているのだろうか。
Copyright © ITmedia, Inc. All Rights Reserved.