タスク管理ツール「Trello」に保存されている一部の個人情報が、外部から閲覧できるとして2021年4月5日夜ごろからインターネット上で波紋を呼んでいる。
「Trello」の利用者は「ボード」というツールを使い、仕事を進める際にチーム内で業務の進捗や情報を共有できる。ただ、設定によっては検索エンジンからTrelloの情報が丸見えになってしまうのだ。
-
何もしてないのに情報が漏えい?(写真はイメージ)
検索エンジンで誰でも見られる状態に
「ボード」の管理者は、公開範囲を数段階に分けて設定できる。初期設定では「非公開」であり、招待されたメンバーしかボードを見られない。
一方で「公開」設定にしている場合、ボードはグーグルなどの検索エンジンの検索結果にも表示され、メンバー以外の第三者もボードを閲覧できる。公開範囲は、管理者の権限を持つユーザー以外には変更不可だ。
4月6日夕現在、検索エンジンに表示される「公開」状態のものは、企業と思われる利用者による採用計画に関するボードや、社内プロジェクトの管理のために用いられているボードもある。
5日夜、ネット掲示板に、「就活生の個人情報が全部見られる」として「Trello」が紹介された。その後、積極的にボードを検索するユーザーが続出。就活生に対する採用担当者側の評価コメントや、氏名、パスポートの写真といった個人情報も閲覧できると、騒動となった。
情報セキュリティーに詳しい立命館大学情報理工学部の上原哲太郎教授に取材した。「Trello」に限らず、ネット上のツールや使い方に詳しくないユーザーがこうした共有サービスを利用することで公開設定を誤り、漏えいトラブルにつながるケースがあるという。