【大炎上】Trelloで個人情報がダダ漏れ、ITリテラシーの低さが露呈

ITニュース

プロジェクト管理ツール「Trello」で管理されていた情報がインターネット上に公開設定のまま利用され、個人情報や機密情報がダダ漏れ状態だったことが4月5日から6日明朝に掛けて判明しTwitterのトレンドにも「Trello」がランクインするほどに・・・

個人情報や機密情報の流出問題は度々起こる。
多くの場合が不正アクセスによるものだった。

しかし、昨今、不正アクセスによるものだけでない場合も増えてきた。
2021年01月29日にはSMBCのソースコードが外部のWebサイト上に無断で公開されるという事件があった。
こちらは委託先の企業に勤務するSE(システムエンジニア)から流出している。

今回の「Trello」の情報漏洩も「ヒューマンエラー(人為的過誤や失敗)」が原因だ。

スポンサーリンク

Trelloって何?

まずは今回の主役でもある「Trello」について少し説明したいと思います。
Trelloはネット上で、プロジェクト管理、タスク管理、todoといった管理をカード型のアイコンを動かしながら、視覚的に管理できるカンバン方式の管理ツールになります。

個人のタスクのみではなく、複数人で(チーム)でタスクの共有やプロジェクトの進捗を管理できることから、仕事の効率化や生産性のUPのために利用されていることが多い。

正しく使っていれば便利なツールなんですけどね。

スポンサーリンク

Trelloから流出したものは何?

Trelloから流出したものはどういった情報だったのだろうか、気になりますよね。
Twitter上でざっくりまとめていた人がいました。↓

はい。多すぎです・・・・
なかでもヤバイものは、個人情報、パスワードやクレカ情報、マイナンバー、社内パスワード全晒し、楽天銀行の暗証番号とパスワードといったところでしょうか。

これが、個人だけではなく複数の企業から流出しているわけです・・・・
現在、確認できる状態ではないが、見れる状態だった際に見た人達はそのヤバさを痛感している。

就活生の不採用理由が結構、辛辣に書かれてるけども、公開と非公開の違いもわからん奴がよく言うと個人的に思った。

スポンサーリンク

Trelloからなぜ流出したのか

なぜ、こんなにも多くの情報が流出したのか・・・
1つ分かっているのは、不正なことは何一つされていないということ

これは全て、Google検索で表示されてました。
なぜか!!

単純に「Trello」の内容を全世界に向けて公開したいたから・・・

なんともお粗末な・・・

「Trello」はプロジェクトを管理する上で、特定のメンバーだけ閲覧・編集するだけではなく、ネットに接続するすべての人が閲覧できる状態にできる。

ちゃんと「公開」のところには、「インターネットに接続(Googleを含む)しているすべての人がこのボードを閲覧できます。」と書かれている。

今回、流出していると騒がれているのはこの「公開」という設定になってるものだったわけです。
冒頭に、「ヒューマンエラー(人為的過誤や失敗)」が原因と書いたのここのことです。

単純に外部に漏らしてはいけない、または、見せたくないものを自分たちで「公開」してただけのこと。

これが、「仕事の見える化」ってやつなのか?いや違う、ITリテラシーの低さの露呈だと思う。
過去にもGoogle Drive、Googledocやスプレッドシートでも同じようなことやってませんでしたっけ?

Trelloのデフォルトで公開はウソ

Twitter上でデフォルトで公開になっているのが悪いといった内容のツイートを見かけますが、これはウソ(たぶん勘違い)です。
デフォルトでは非公開になってます。また、「公開」に設定しようとすると警告もでます。管理者でないとできないはず。

フリーランスの方や外部の協力者と共有したい場合は、「非公開」+「メールアドレスで招待」という方法にしてください。間違っても「公開」にしないように。

Trelloを公開での漏洩のヤバさ

今回、「Trello」を使っているユーザー側の「ヒューマンエラー(人為的過誤や失敗)」が原因ですが、SMBCのソースコード流出とは一味違うヤバさがある。

SMBCのソールコード流出はGitHub上で公開されていたので、GitHubのアカウントを持っていないとソールコードは見ることができませんでした。

しかし、Trelloのアカウントがなくても、Google検索ができる人であれば、誰でも確認することができました。

Trelloは悪なのか

一部、「Trello」が情報流出させたと勘違いしている人がいるが、まったく違う。先にも記載したが、Trelloは初期設定では非公開となっており、ユーザーの任意で公開範囲を選択するようになっている。

なので、ITリテラシーの低いユーザーによるヒューマンエラー(人災)です。

ITリテラシーの教育が必要

今回のようなことが起こるのは、ITリテラシーの問題が大きい。正直、私もやらかすことはあるが、個人情報やパスワードといった情報はむやみにネットにあげないようには心がけている。

また、Google Driveやスプレッドシートなど、無料かつネット上で使う便利なツールは公開設定や編集権限などは必ず確認するようにしている。

今回のような情報を流出させていまうような大きなことでなくとも、情報共有している社内の人間が誤って、削除してしまったや、上書きしてしまったを防ぐためにも、権限周りの確認はしておくと事故は起きにくい。