免許証の画像や企業秘密にかかる情報が多数流出しているTrelloだが、実は今から3年も前の2018年3月時点で、このような事件の発生リスクの指摘が、エンジニアコミュニティの「Qiita」に投稿されていた。
“ググると色々なボードがヒットします。恐ろしいググラビリティの高さです。※悪用を推奨しているつもりではないですが、本当に簡単に色々ヒットしてしまいます。”
「うわっ…私のtrello、丸見え…?(簡易チェックツール付き)」より引用https://qiita.com/sakusrai/items/e3fb0d2fa59a85248ce6 @sakusrai
著者の@sakusrai氏は、公開ボードが衆目に触れることを避けるために非公開化の手順を紹介している。さらに発展的な対策として、TrelloのAPIを使って自分が参加しているボードが公開されていないか確認する方法も提示している。
同氏は「公開Trelloボードに機密情報を乗っけていて流出した、なんてことがないように皆さんお気をつけ下さい!」と結んでいるが、残念ながらその願いは果たされなかったようだ。
Trello側の対策は不十分?
この騒動につき、Trelloを運営するアトラシアン社は6日に声明を出した。
現在、Trello(トレロ)の一部ユーザーがボードの公開範囲を「公開」に設定したことに起因して、ボード内の情報がインターネット上に公開されている事象が発生しております。Trelloの初期設定ではボードは非公開になっており、ユーザーの任意で公開範囲を選択することが可能です。現在アトラシアンでは、問題が発生しているボードのプライバシー設定を確認するなど、ユーザーが意図しない情報の漏洩を止めるため、ユーザーのサポートに尽力しております。
ただし、この声明にあるようなサポートはいささか不十分ではないだろうか。なぜなら一番の問題は、Trelloのボードやカード名がGoogleなどの検索エンジンでヒットすることにあるからだ。
SEO的な側面で有利になる狙いがあったのか定かではないが、この場合「機密情報」のように、危なそうな単語を入れて検索されれば、顧客の免許証や企業秘密にアクセスされるリスクを飛躍的に高める。
さらにTrelloは、11年(日本語版は18年)から運営が開始された歴史の長いサービスであり、「ボードが公開されているがログイン情報が分からないためボードを消せない」ユーザーならまだしも、そもそも「公開されているボードで危ない情報を載せたことを忘れている」ユーザーを救うことはできない。
本来であれば、まずTrelloのボードを一律で「noindex」という検索エンジン避けのタグを付与したり、URLをハッシュ化したり、さらに緊急避難的な策としては「サービス側で一律全ボードを非公開化した上で、ユーザーの選択で改めて必要に応じて公開する」といった形を取らなければユーザーを保護することは難しいのではないか。
Trelloに機密情報を保存しており、それを公開状態で放置してしまっているユーザーは、さらなる秘匿レベルの高い情報が眠っている「Google Drive」といったクラウドストレージ上のドキュメントにもアクセスされる危険性が高いと考えられ、二次災害の恐れもある。
関連記事
本当に怖いのはGoogle Driveの漏洩(ろうえい)・改ざん?
確かにTrelloでは、公開されているタスク管理ボードまではGoogleなどで簡単にたどり着けるものの、基本的にはテキストベースでタスクが管理されるような使い方がされており、免許証の画像や個人情報といった機密性の高い情報をアップロードし、そのまま公開状態で放置されていることは全体の割合としては小さい。
しかし、企業や団体におけるあらゆる情報が保存され得るGoogle Driveなどのクラウドストレージでは、企業秘密に関わるドキュメントや顧客・従業員の機微情報など、仮に衆目にさらされてしまえば取り返しのつかないデータが数多く保存されていると考えられる。
Trelloのタスク管理カードの中に、関連ドキュメントとしてGoogle Driveのリンクが添付されているような場合、それが「リンクを知っている人全員」または「インターネット上に公開」としていれば、設定によっては企業の財務情報を閲覧されるだけでなく改ざんされるなどの深刻な事態に発展しかねず、非常に危険である。そして、「リンクを知っている人全員」という設定は決して少なくない場面で利用されているのが現状だ。
例えば、社外の関係者や業務委託のメンバーにある業務を依頼しているような場合、これは要注意だ。
組織外のメンバーにドキュメントを共有する際は、対象となるメールアドレスをひとつずつホワイトリストに入れることで外部メンバーがアクセスできるようにすることが基本である。しかし、「社外メンバーが多く招待がめんどくさいという理由」や、「リンクを知っている人全員に共有する」といった、便利そうなやり方が選ばれることもあるだろう。
しかし、信頼できるメールアドレスにのみドキュメントの閲覧/編集権限を付与することと、ドキュメントのアドレスを知っているメンバーが信頼できるとして権限が付与されることは全く意味が異なってくる。
確かに、クラウドストレージに存在するドキュメントは、公開設定でない限り、通常検索エンジンにヒットしてくることはないだろう。しかし、リンクを知っている人全員がアクセスできる設定の場合、今回のTrelloのような流出事案との組み合わせで秘匿性の高い情報にアクセスされてしまう危険性が高い。Trelloの流出騒動を機に、外部の利用者が存在するクラウドストレージの利用者やリンクの公開状況などを一度棚卸ししてみることが必要だ。
深刻な二次災害が生まれる危険性も
Trelloの炎上が加速した背景には、公開されている情報に簡単にアクセスできることで、ボードを閲覧するという興味本位のアクセスが増加したことにある。銀行口座のIDやパスワードがTrelloに書かれていたとしても、引き出しの際には多要素認証が求められるし、振込先の口座やインターネットの設定を偽装しておくなど、高度な犯罪の知見がなければ足がついてしまうため、現時点ではTrelloのボード公開事件が不正出金などの二次的な被害にまでは発展していないようだ。
しかし、公開される時間が長ければ長いほど、口座の偽装や多要素認証を突破する高度な犯罪の猶予が生まれ、二次的被害の可能性は加速度的に高まってくる。Trello側にはプラットフォームとしての責任として、事態の収束に向けて大胆かつ迅速な決断が求められる。他方で、企業や個人であってもこの騒動をきっかけに情報を「公開」するリスクをしっかりと認識し自衛策を講じていかなければならない。
筆者プロフィール:古田拓也 オコスモ代表/1級FP技能士
中央大学法学部卒業後、Finatextに入社し、グループ証券会社スマートプラスの設立やアプリケーションの企画開発を行った。現在はFinatextのサービスディレクターとして勤務し、法人向けのサービス企画を行う傍ら、オコスモの代表としてメディア記事の執筆・監修を手掛けている。
Twitterはこちら
関連記事
Trello流出事件、二次災害に注意……3年前からの警鐘生かされず - ITmedia
Read More
前
No comments:
Post a Comment