こんにちは、shunです。
タスク管理ツールTrello(トレロ)をご存知ですか?
今回はトレロユーザの間で話題となっている、情報漏洩について解説します。
結論から先に言うと、トレロの運営がやらかしたとかではなく、ユーザ側の設定によって誰でも見れるような設定になっていたというオチです。
トレロユーザはもちろん、クラウド型のツールで個人情報や企業の業務情報などを扱っている人は、内容を確認しておきましょう。
トレロとは
トレロはタスク管理ツールで、パソコンはもちろん、iPhoneやAndroidのアプリでも利用可能です。
Webを介して、色々なユーザと共有することが可能です。(←今回の問題の原因)
個人で使うことはもちろん、共有機能を使って企業などで使われることもあります。
公式Web:https://trello.com/ja
特徴:付箋のようにシンプルで使いやすい
トレロの特徴として挙げられるのがシンプルな使いやすさ。
アナログでタスク管理をするとき、大きなボードに付箋を貼り付けて管理したりしませんか?
新しいタスクは付箋を貼るだけで良いですし、進捗や重要度に応じて付箋を移動させたり付箋を剥がしたりできるので、メンテナンス性が高いです。
また、ひと目で状況を確認できるのも嬉しいところです。
トレロはそのような「ボードと付箋」をデジタル化したイメージです。
下の図は使用例で、Boardの中に「未着手」「着手」「確認待ち」というListがあり、その中にそれぞれの状況のタスク(Card)があります。
これを見れば、ひと目でどんな状況かわかりますね。
もちろん、進捗以外にも重要度でわけるなども可能です。
(使い方について詳しく知りたい方は、こちらのページを御覧ください。少し前のものですが、とてもわかり易く解説されています。)

情報漏洩の原因はトレロ運営ではなく、ユーザの設定ミス
本題の情報漏洩についてです。
「情報漏洩」と聞くと、運営側の「個人情報売却」や「操作ミス」などが真っ先に疑われます。
しかし冒頭でも述べたように情報漏洩は、運営側のやらかしではなく、ユーザ側の設定ミスによって引き起こされていたのです。
原因はユーザによる「公開」設定
トレロでは、上図のようなボードを共有することができます。
これは「プライバシー設定」と呼ばれ、下の3つ(4つ)に分かれます。
・非公開 :原則的に閲覧&編集は本人のみ(デフォルト)
・チームに公開:予め作られたチームメンバーのみ閲覧&編集可能 ※
・公開 :世界中の全員が閲覧可能
※エンタープライズ版には、「組織に公開」というのものも存在する
デフォルトでは「非公開」設定になっているので、問題ありませんが、これがユーザの設定によって「公開」になると、URLを知っている人なら誰でも閲覧可能な状態になってしまいます。
設定時のミスであったり、チームメンバーに共有しようとして「公開」を選んでしまったケースがありますね。
どんな情報が流出した??
現在は非公開設定にされていると思いますが、以下のような情報が出回っていたとされています。
(ソースはTwitterレベルなので、参考程度に…)
個人の銀行口座やら芸能人スケジュール、企業の社内パスワードまでヤバいものずくしですね…(‘o’;)
自分の情報が流出していないか、確認方法(※悪用厳禁!!)
トレロで非公開設定にしていても、このような事件があると自分は本当に大丈夫か気になりますよね?
ここで、自分の設定が他の人から見られないか確認する方法を紹介します。
※悪用厳禁!!
この方法を悪用すると、他の人のボードも閲覧可能となります。
手軽さを確認する程度なら良いですが、情報の取り扱いは十分にご注意ください。
(設定を公開のままにしている側にも問題はありますが、それはそれ)
「site:trello.com 〇〇」で検索
自分のボードを検索するには、「site:trello.com 〇〇(キーワード)」などとGoogleで検索すれば確認できます。
常にログイン状態にしている人は、シークレットタブなどを用いて検索すると良いかもしれません。
検索結果で自分のボードが検索結果に出てきたらクリック、「カードが見つかりません」と表示されれば大丈夫です。

まとめ
今回はトレロの情報漏洩についてまとめました。
まず、トレロユーザは
自分のボードが公開設定になっていないか確認を!
今回の情報漏洩で驚いたのは、不特定多数の一般人でもアクセスできてしまうというところ。
上の方法を試せばわかりますが、おそろしいほど簡単に検索できます。
(繰り返しますが悪用は厳禁)
トレロは大変便利なツールなのでスケジュール以外にも、日記のように使っている人や、銀行口座などの個人情報をメモしている人までいます。
クラウドなどの普及で便利になることで、ついついセキュリティをツールに任せがちです。
今回のように、ちょっと設定をミスしただけで世界中に情報がダダ漏れになってしまうこともあるので、トレロ以外のツールを使っている人も、重要な情報については設定を自分で確認しておきましょう!
以上
コメント