Trelloから個人情報が漏洩。公開設定に起因
アトラシアン株式会社が運営するタスク管理ツール『Trello』の公開範囲設定を『公開』状態にしたことで、サーチエンジン等から誰でも個人情報や社内情報にアクセスできる事態が発生しています。
Trelloとは、視覚的にタスクを整理・管理できる無料のツールで、ちょっとしたことから仕事管理まで、国内外問わず様々な場面で使用されています。
Trelloの画面
Trelloの公開範囲設定はデフォルトでは『非公開』となっており、『非公開』『チーム』『組織』のいずれかに設定されていれば問題はありません。しかし、『公開』へと変えた場合は、サーチエンジンのクローラが巡回して、Google検索などの検索結果に表示されることがあります。
特定のワードで検索すると一般公開してはマズそうな情報がヒットする
『公開』状態は文字通りに公開されているため、そのまま中身を見ることができます。結果、Trello上の個人情報や機密情報などが第三者に漏洩するといった事態が起こっています。
本件について、運営元のアトラシアン株式会社は以下の発表をしました。
現在、Trello(トレロ)の一部ユーザーがボードの公開範囲を「公開」に設定したことに起因して、ボード内の情報がインターネット上に公開されている事象が発生しております。Trelloの初期設定ではボードは非公開になっており、ユーザーの任意で公開範囲を選択することが可能です。詳細は、こちらの記事にて確認いただけます。 また、Trelloにはユーザーの意図しない公開ボードの作成を回避するため、ユーザーがボードの公開設定をする際、ユーザーの意図を確認する仕組みが搭載されています。現在アトラシアンでは、問題が発生しているボードのプライバシー設定を確認するなど、ユーザーが意図しない情報の漏洩を止めるため、ユーザーのサポートに尽力しております。 Trelloの公開設定に関するユーザー様からのご質問は、こちらの窓口にてお受けしています。 アトラシアン |
本件については、内閣サイバーセキュリティセンターのツイッターアカウントも注意喚起をしており、意図せず『公開』となっている場合は設定を変更するよう案内しています。
内閣サイバーセキュリティセンターの注意喚起
心当たりのある方は、至急ご確認の上、設定をご変更ください。