「Trello」のボード、非公開への変更方法を案内
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」4月14日の放送内容を一部抜粋しご紹介します
今回のトピック!
・ニュース解説「意図しない「Trello」のボード「公開」設定、非公開への変更方法を案内」
・「検索避け」について
ニュース解説
Trelloの設定が原因で、個人情報が漏洩してしまうインシデントが発生しています。今回のインシデントで何が問題であったかについて説明します。
Trelloは「かんばん方式」と呼ばれるタスクをボード上のカードで管理をするクラウドサービスで、多くのプロジェクトで使われています。Trelloのボードには「非公開」「チームに公開」「公開」の計3つのプライバシー設定があり、初期状態では「非公開」になっています。このプライバシー設定が「公開」に変更されることで、今回の個人情報が漏洩してしまうインシデントが発生しています。具体的には、Trelloのボードで管理されていた就活生の個人情報やアカウント情報、クレジットカード情報、免許証画像などが漏洩してしまったということです。さらに、ボード設定が公開になっているTrelloの情報がSNS上で拡散され、被害が拡大しているということです。
「検索避け」について
検索避けとは、Googleなどの検索エンジンで検索しても見つからないようにする方法です。検索避け以外にも検索エンジンにインデックスされることを防ぐ方法がいくつかありますので、その内容について説明します。
検索避けとは、キーワードに文字を混入させたり、隠語などの別の文字へ変換することで、検索エンジンで検出されることを防ぎます。広く多くの人に見てもらいたい情報ではない場合に検索避けが使われることが多いようです。ただし、検索避けは本文に書かれた文字列に対して行われるものであるため、TrelloのURLが検索対象となっている今回のインシデントでは十分な対策になりません。
検索エンジンのインデックスを避ける別の方法として、robots.txtの利用が挙げられます。robots.txtとは、インデックスを許可するURLまたは拒否するURLを検索エンジンに知らせるものです。Trelloのrobots.txtにはサイトマップのURLが記載されていて、そのサイトマップに公開ボードのURLが記載されていたようです。この情報をもとに、Googleなどの検索エンジンは公開ボードのURLをインデックスしたことが考えられます。
ただし、robots.txtの利用には別の注意が必要で、非公開URLの存在を第三者に知られてしまう可能性があります。具体的には、robots.txtは検索エンジンに対しては有効なのですが、人の目によってrobots.txtを確認することでその存在を知られてしまうことがあるということです。本当にアクセスされては困るURLに対しては認証をかけるなどの対策をすることが必要です。
放送を聴かれるかたはこちら
記 にしもと