知って得するセキュリティのはなし その108
ネット証券に委託SEが不正アクセス…顧客15口座から約2億円着服
1.このニュースをざっくり言うと
- 4月上旬、プロジェクト管理・タスク管理を行うWebサービス「Trello」において機密情報が公開状態になっているという指摘がSNSや匿名掲示板等で相次いで報告されました。
- 指摘があった情報の内容は、企業の内部情報、店舗の採用希望者の個人情報、さらには個人が利用するサービスのアカウント情報等、多岐にわたっています。
- 4月6日(日本時間)、Trello運営元のAtlassian社から声明が出され、Trelloのデフォルトの設定では非公開であるとし、また意図しない情報の漏洩を止めるため、ユーザーのサポートに尽力するとしています。
2.執筆者からの所感等
- クラウド上に情報を保存するサービスの設定ミスで外部から閲覧可能となっていたケース自体は珍しいものではなく、特に昨年12月には楽天グループ、今年1月・2月にもイオングループより、営業管理サービス「Salesforce」で管理していた情報に設定の不備で第三者からアクセスされたことが発表され、内閣サイバーセキュリティーセンターから注意喚起が出される事態にもなっています(https://www.nisc.go.jp/active/infra/pdf/salesforce20210129.pdf)。
- Trelloにおいては、いずれもデフォルトで非公開となっている設定をユーザー側が公開状態に変更していたものとみられ、かつそれにより、Google等サーチエンジンからも検索可能な状態となっていた模様ですが、少なからぬユーザーが公開状態への設定変更を行ったことについては、ユーザーインターフェース上の説明がわかりにくかった可能性も指摘する声もあります。
- ともあれユーザー側においては、サービスの公開設定に関して十分に調査するとともに、第三者として外部からアクセス可能でないか、Webブラウザーのプライベートウィンドウ機能を用いて確認する等の自衛策をとることが肝要です。