タスク管理ツール「Trello」で、ユーザー側の設定ミスなどにより、機密性の高い個人情報が誰でも閲覧できる状態が相次いでいる。
Trelloを運営するアトラシアン社はこの件に関し4月6日午後、ブログ記事という形で声明を発表し、「ユーザーが意図しない情報の漏洩を止めるため、ユーザーのサポートに尽力しております」とした。
今回の件について、アトラシアンのマーケティングマネージャーが公表したブログ記事の全文は以下の通り。
《現在、Trello(トレロ)の一部ユーザーがボードの公開範囲を「公開」に設定したことに起因して、ボード内の情報がインターネット上に公開されている事象が発生しております。Trelloの初期設定ではボードは非公開になっており、ユーザーの任意で公開範囲を選択することが可能です。詳細は、こちらの記事にて確認いただけます》
《また、Trelloにはユーザーの意図しない公開ボードの作成を回避するため、ユーザーがボードの公開設定をする際、ユーザーの意図を確認する仕組みが搭載されています。現在アトラシアンでは、問題が発生しているボードのプライバシー設定を確認するなど、ユーザーが意図しない情報の漏洩を止めるため、ユーザーのサポートに尽力しております》
パスポートの写真や住所などの個人情報が流出
Trelloは、職場など複数のメンバーでつくるチームなどが業務タスクなどを共有するのに便利なサービスだ。
Trello上の情報は「公開」「チームに公開」「非公開」の中からユーザー側が選び、設定することができる。
しかし、公開状態になっていることを認識していないままのユーザーが多かったとみられ、多くの個人情報が外部から見られるようになっていたことがネットの掲示板で話題となり、Twitterなどで拡散された。
BuzzFeed Newsが確認したところ、免許証やパスポートの写真、住所、本籍地、電話番号、メールアドレス、健康診断の情報など、企業の採用や労務に関するものとみられる、極めて秘匿性の高い情報が多数、閲覧可能な状態になっていた。
ユーザーは、公開範囲の確認を
ブログ内では、Trelloが2020年5月に公開していた、「プライバシー設定を使ってTrelloワークフローを安全に保護」という記事を紹介。
このページでは、非公開設定への変更の方法などを紹介し、こう呼びかけていた。
「個人的なタスク追跡だけにボードを使用する場合は、非公開に設定すると良いかもしれません」
「非公開に設定すると、ボードが最も安全な状態になり、追加されたユーザーだけがアクセスすることができます」
「(公開設定だと)同じ会社の社員でなくても、リンクを知っていれば誰でも見ることができると覚えておいてください。これらは公開されたリンクのため、検索結果に表示されることもあります」
政府も公開設定について注意呼びかけ
個人情報の流出などの問題を受け、内閣官房内閣サイバーセキュリティセンター(NISC)の公式Twitterアカウントもこの件について注意喚起をしている。
同センターは「Trelloと呼ばれる、一般の方々も仕事管理などに活用できるwebサービスにおいて、適切な設定がなされていないユーザーの情報が外部から閲覧できる状態であることが確認されています」とした上で、こう呼びかけた。
「公開範囲の設定を確認し、意図せず公開となっている場合は、非公開とする等、適切な設定にしてください」
「なお、Trelloに限らず、webサービスで情報を扱う際は、公開範囲の設定を確認すること等が大切です」
Trelloと呼ばれる、一般の方々も仕事管理などに活用できるwebサービスにおいて、適切な設定がなされていないユーザーの情報が外部から閲覧できる状態であることが確認されています。公開範囲の設定を確認し、意図せず公開となっている場合は、非公開とする等、適切な設定にしてください。 (続く)
