Trelloのデータ漏洩

Trelloで起きたデータ漏洩は、よくある漏洩とは違っていました。何が起きたのでしょう?

さまざまな企業の情報がTrelloから漏洩したとのニュースが、一時期話題になりました。それは不正アクセスによる漏洩ではなく、プライバシー設定が不適切なままTrelloを使い続けていたことによるものでした。情報が見えてしまうことに気づいた人々が事態を公にしたことで、大きな話題になりました。

実際のところ、重要情報をTrelloに公開状態で保存していた企業の話は、数年おきにニュースになっています。3年前には、リサーチャーのクシャグラ・パサク(Kushagra Pathak)氏が、この問題をメディアで取り上げました(英語記事)。残念ながら、このような警告の効果は短期間に終わる傾向があります。

漏洩したもの、漏洩した理由

Trelloは、プロジェクト管理用のWebツールです。プロジェクトメンバーは、ボードを使ってタスクを共有します。ボードへのアクセス権はボードごとに設定しますが、既定では「非公開」になっていて、プロジェクトチームのメンバー以外には見えません。チーム外の誰かにボードを見せる必要があって公開範囲を「公開」に設定すると、「公開」にした時点で直接リンクから誰でもこのボードを開ける状態となります。その上、検索エンジンはボードに掲載されている情報をインデックス可能になります(言い換えると、Google検索などで検索に引っかかるようになります)。

そのため、検索条件をうまく調整すれば、さまざまな企業に属する公開状態のボードが多数見つかります。中にはWebサイトの認証情報、スキャンした文書、部外秘の議事録などが載ったボードもあり、そういった情報があちこちで見つかっては公開されています。

Trelloのワークスペースに社外秘の文書やパスワードを保管していなかったとしても、自社のワークスペースへの不正アクセスは問題を引き起こしかねません。ここから得られた情報は、ソーシャルエンジニアリングに説得力を持たせるために利用される可能性があります。例えば、会社の重要情報を狙う社外の何者かが社内の誰かにコンタクトした際に、最新プロジェクトの話題を持ち出して警戒心を緩めようとするかもしれません。

情報を非公開に保つためのTrello設定

検索エンジンがTrelloワークスペースのデータをインデックスできないようにするには、設定のポイントが二つあります。一つは、ワークスペースの公開範囲。もう一つは、個々のボードの公開範囲です(こちらの方が重要度が上です)。

ワークスペースの公開範囲は、「非公開」と「公開」の2種類です。「非公開」に設定しましょう。

Trelloワークスペースの公開範囲設定(英語インターフェイス)

Trelloワークスペースの公開範囲設定(英語インターフェイス)

ボードの公開範囲には、もっと多くのオプションがあります。

  • 非公開(ボードのメンバーのみアクセス可能)
  • チーム(チームのメンバー全員がアクセス可能)
  • 組織(全従業員がアクセス可能—ビジネスアカウントのみで利用できます)
  • 公開(誰でもアクセス可能)

Trelloの公開範囲設定画面に表示される各オプションの説明には、どこまでの範囲に公開されるかが明記されています。Webクローラーがアクセスできるのは「公開」に設定されたボードのみだということなので、情報が漏れるのを防ぐには「公開」以外のオプションを選ぶとよいでしょう。

ボードの公開範囲設定(英語インターフェイス)

ボードの公開範囲設定(英語インターフェイス)

仕事関係の情報は必要最低限のメンバー間で共有するべきなので、常に「非公開」のオプションを選ぶのがよいと私たちは考えています。非公開の場合は、ボードごとに誰かがアクセス権限を管理しなければならないので多少の手間ではあるのですが、情報の安全性を保つのにはこうしておくほうがベターです。

コラボレーション作業を安全なものに

Trelloボードに適切な公開範囲を設定すれば、情報が公開されるのを防ぐことができます。それと同時に、セキュリティに関する以下の対策も、ぜひご検討ください。

  • Trelloのワークスペースや各ボードへのアクセス権を誰が持っているのか、注意して管理する。誰かがプロジェクトやチームを抜けたり、会社を辞めたりしたときには、その人の持つアクセス権をすぐに取り消しましょう。
  • 強力なパスワードを使用することの重要性を従業員に伝える。また、Trelloには2段階認証のオプションがあるので、2段階認証の有効化も推奨しましょう。
  • 情報セキュリティ担当者は皆、誰がどのオンラインコラボレーションツールを使用しているか、そういったツールやサービスにどのような情報が保存されているかを把握しておく。リスク評価と脅威モデリングの際には、こういった情報が必要です。
  • すべてのコンピューターにセキュリティ製品をインストールする。どのようなコラボレーションツールであっても、サイバー脅威(悪意あるファイルやリンク)を広める経路になり得ることをお忘れなく。
ヒント