全1550文字
Trelloでは情報の公開範囲を設定できる。具体的には「非公開(ボードメンバーのみ)」「チーム(チームにのみ公開)」「組織」「公開」があり、初期設定では「チーム」になっている。このままならチームメンバーしかボードを閲覧および編集できない。Googleなどの検索に引っかかることもない。
公開範囲の初期設定
(出所:Trello)
[画像のクリックで拡大表示]
だが「公開」に設定すると誰でも閲覧できるし検索にも引っかかる。このため検索サイト経由で第三者にアクセスされて情報が流出した可能性が高い。
今回の情報流出で明らかになったように、「公開」に設定するのは危険性が高い。このためTrelloでは、公開範囲を「公開」にすると、誰でも閲覧可能になるとのメッセージが表示される。にもかかわらず、今回被害に遭った利用者は「公開」に設定したと思われる。
「公開」に設定すると表示されるメッセージ
(出所:Trello)
[画像のクリックで拡大表示]
なぜわざわざ設定を変更したのか。チームメンバーなどにするにはメールを送るなどの一手間が発生する。「公開」にすればURLを伝えるだけで情報共有できるので、設定を変更した可能性が高い。
公開範囲の設定が原因の情報流出が後を絶たない。Webサービスの多くは、Trelloのように初期設定では公開範囲を制限している。だが利用者が設定を変更してしまっては意味がない。また、初期設定が危険なWebサービスも存在する。
不特定多数に閲覧させたくない情報を登録するWebサービスでは、公開範囲を確認するのが不可欠だ。公開範囲が不明な場合には、見られたくない情報を登録するのは厳禁だ。
