Trelloからの流出事案、経緯や原因および運営側の対応を解説します|サイバーセキュリティ.com

Trelloからの流出事案、経緯や原因および運営側の対応を解説します



画像:Trelloより引用

2021年4月に入り、豪州の企業・アトラシアン社が提供しているオンラインタスク管理ツール「Trello(トレロ)」から、多数の情報が流出したと騒がれています。

現在、Trelloから流出が確認された情報の中には、企業の人事採用情報や顧客情報などの個人情報のほか、銀行口座の暗証番号やパスワードなどが含まれています。事態を重く見た内閣サイバーセキュリティセンター(NISC)も同日、Twitterを通じてトレロからの流出に注意するよう呼びかけました。

テレワークの進行に伴い需要を拡大させてきたTrelloですが、一体何が起きたのでしょうか。今回はTrelloをめぐる一連の騒動の経緯や原因・運営側の対応を解説しようと思います。

Trelloで何が起きたのか?

Trelloをめぐる問題が表面化したのは、2021年4月5日の夜~2021年4月6日未明に、一部のTwitterユーザーから「多数の個人情報が流出している」と指摘が入ったことに起因します。

Trelloはユーザーが投稿した情報をオンラインスペースで管理・共有することでプロジェクトやタスクを整理しやすくするアプリケーションです。日本では防衛省などの政府関係者も使用していることで知られていますが、彼らはこのオンラインスペースにおいて、本来公開されるべきでない、企業の採用情報や個人の銀行暗証番号などが、検索エンジン上で公開状態になっていたと指摘したのです。

当然、この指摘は瞬く間に広まり、蜂の巣をつついたような大騒ぎとなりました。

流出の原因は?

運営企業である豪州アトラシアン社の日本法人・アトラシアン株式会社によると、流出の原因は「公開範囲の誤設定」です。

前述のとおり、Trelloはユーザーが投稿した情報をオンラインスペースで共有するアプリです。投稿した情報の公開範囲はユーザー側が「非公開」や「公開」、「チームに公開」などから選択することができますが、これをユーザー側が「公開」状態に設定すると、情報が外部閲覧できる状態になるほか、検索エンジンなどで表示される場合があると説明しています。

なお、同社によるとTrelloにおける投稿情報の初期公開設定は、投稿したユーザーのみが情報を閲覧できる「非公開」設定です。また、同社はユーザー側が公開設定を変更すると、Trello側が設定の変更を通知する仕組みを導入しています。

つまり、今回の情報流出問題は、流出を起こしたユーザー側が何らかの段階で公開設定を変更し、気付かないまま放置したことにより発生したものと見られています。

運営元の対応は?

アトラシアン株式会社は一連の問題が浮上してから、公式ブログを通じて、ユーザー側に公開設定を確認するよう注意を発しています。

また、同社は情報管理に悩むユーザーについて、プライバシー設定に関するサポートを提供すると発表。公式ブログを通じて、情報公開設定を詳細に解説するなどの対応を進めています。

参照アトラシアン日本法人ができました!

参照Trelloの公開ボードについて

参照プライバシー設定を使って Trello ワークフローを安全に保護

参考流出情報を指摘するツイート

参考内閣サイバー(注意・警戒情報)による注意喚起ツイート


SNSでもご購読できます。