【大炎上】Trelloで個人情報がダダ漏れ、ITリテラシーの低さが露呈

プロジェクト管理ツール「Trello」で管理されていた情報がインターネット上に公開設定のまま利用され、個人情報や機密情報がダダ漏れ状態だったことが4月5日から6日明朝に掛けて判明しTwitterのトレンドにも「Trello」がランクインするほどに・・・

個人情報や機密情報の流出問題は度々起こる。
多くの場合が不正アクセスによるものだった。

しかし、昨今、不正アクセスによるものだけでない場合も増えてきた。
2021年01月29日にはSMBCのソースコードが外部のWebサイト上に無断で公開されるという事件があった。
こちらは委託先の企業に勤務するSE（システムエンジニア）から流出している。

SMBCソースコード流出はGitHubの問題ではなく使う人のモラルのせい

三井住友銀行(SMBC)などのシステムに関連するソースコードが無断公開された問題がニュースで流れました。 ニュース記事には、「GitHub」という言葉がならんでます。 IT業界の人には馴染みがある言葉だと思いますが、そうでない人にはちょっと...

netorder365.com

2021.02.03

今回の「Trello」の情報漏洩も「ヒューマンエラー(人為的過誤や失敗)」が原因だ。

Trelloって何？

まずは今回の主役でもある「Trello」について少し説明したいと思います。
Trelloはネット上で、プロジェクト管理、タスク管理、todoといった管理をカード型のアイコンを動かしながら、視覚的に管理できるカンバン方式の管理ツールになります。

個人のタスクのみではなく、複数人で(チーム)でタスクの共有やプロジェクトの進捗を管理できることから、仕事の効率化や生産性のＵＰのために利用されていることが多い。

正しく使っていれば便利なツールなんですけどね。

Trelloから流出したものは何？

Trelloから流出したものはどういった情報だったのだろうか、気になりますよね。
Twitter上でざっくりまとめていた人がいました。↓

【緊急】日本企業、Trelloを公開設定のまま利用してしまい就活生の個人情報などがダダ漏れ状態

Trelloから流失したものがこちら

さくらみこちゃん可愛い🥰🌸 pic.twitter.com/pb4wyOleOd

— わいみ©️🛌だらVtuber@毎週金曜日20時動画投稿マン🎥 (@Ymetyan) April 6, 2021

はい。多すぎです・・・・
なかでもヤバイものは、個人情報、パスワードやクレカ情報、マイナンバー、社内パスワード全晒し、楽天銀行の暗証番号とパスワードといったところでしょうか。

これが、個人だけではなく複数の企業から流出しているわけです・・・・
現在、確認できる状態ではないが、見れる状態だった際に見た人達はそのヤバさを痛感している。

想像以上に野放しでやばい、これ本当にダメなやつやん…

少しググっただけで、某P&○の内部管理情報とかもパブリックで管理してて内情ダダ漏れわらた

【緊急】複数の日本企業さん、Trelloを公開設定のまま利用してしまい就活生の個人情報がダダ漏れ状態に : IT速報 https://t.co/a3EXKrgHvQ

— こうまい葱 (@Toreniafournier) April 6, 2021

就活生の不採用理由が結構、辛辣に書かれてるけども、公開と非公開の違いもわからん奴がよく言うと個人的に思った。

Trelloからなぜ流出したのか

なぜ、こんなにも多くの情報が流出したのか・・・
1つ分かっているのは、不正なことは何一つされていないということ

これは全て、Google検索で表示されてました。
なぜか！！

単純に「Trello」の内容を全世界に向けて公開したいたから・・・

なんともお粗末な・・・

「Trello」はプロジェクトを管理する上で、特定のメンバーだけ閲覧・編集するだけではなく、ネットに接続するすべての人が閲覧できる状態にできる。

ちゃんと「公開」のところには、「インターネットに接続(Googleを含む)しているすべての人がこのボードを閲覧できます。」と書かれている。

今回、流出していると騒がれているのはこの「公開」という設定になってるものだったわけです。
冒頭に、「ヒューマンエラー(人為的過誤や失敗)」が原因と書いたのここのことです。

単純に外部に漏らしてはいけない、または、見せたくないものを自分たちで「公開」してただけのこと。

これが、「仕事の見える化」ってやつなのか？いや違う、ITリテラシーの低さの露呈だと思う。
過去にもGoogle Drive、Googledocやスプレッドシートでも同じようなことやってませんでしたっけ？

Trelloのデフォルトで公開はウソ

Twitter上でデフォルトで公開になっているのが悪いといった内容のツイートを見かけますが、これはウソ(たぶん勘違い)です。
デフォルトでは非公開になってます。また、「公開」に設定しようとすると警告もでます。管理者でないとできないはず。

フリーランスの方や外部の協力者と共有したい場合は、「非公開」+「メールアドレスで招待」という方法にしてください。間違っても「公開」にしないように。

Trelloを公開での漏洩のヤバさ

今回、「Trello」を使っているユーザー側の「ヒューマンエラー(人為的過誤や失敗)」が原因ですが、SMBCのソースコード流出とは一味違うヤバさがある。

SMBCのソールコード流出はGitHub上で公開されていたので、GitHubのアカウントを持っていないとソールコードは見ることができませんでした。

しかし、Trelloのアカウントがなくても、Google検索ができる人であれば、誰でも確認することができました。

Trelloは悪なのか

一部、「Trello」が情報流出させたと勘違いしている人がいるが、まったく違う。先にも記載したが、Trelloは初期設定では非公開となっており、ユーザーの任意で公開範囲を選択するようになっている。

なので、ITリテラシーの低いユーザーによるヒューマンエラー(人災)です。

ITリテラシーの教育が必要

今回のようなことが起こるのは、ITリテラシーの問題が大きい。正直、私もやらかすことはあるが、個人情報やパスワードといった情報はむやみにネットにあげないようには心がけている。

また、Google Driveやスプレッドシートなど、無料かつネット上で使う便利なツールは公開設定や編集権限などは必ず確認するようにしている。

今回のような情報を流出させていまうような大きなことでなくとも、情報共有している社内の人間が誤って、削除してしまったや、上書きしてしまったを防ぐためにも、権限周りの確認はしておくと事故は起きにくい。