あなたが利用しているウェブサービス、公開範囲は大丈夫?免許証情報も大漏洩

日刊SPA!

―[デジタル四方山話]―

◆情報漏洩はユーザーの過失で起きている

4月6日14時過ぎ、内閣サイバーセキュリティセンターはTwitterで、「Trello」というタスク管理サービスで情報が外部から閲覧できる状況にあるので、公開範囲を確認するように投稿した。

4月5日深夜から、特定のキーワードで検索すると、タスク管理ツールに登録されている情報がヒットしてしまうことがわかったのだ。就活生の個人情報や面接の履歴を書き込んでいる企業や、利用しているウェブサービスのアカウントとパスワードを書いている人など、目を覆う情報が全世界公開されていた。有名人に関する情報も散見でき、案の定、翌日ニュースになってしまった。

原因は、セキュリティが破られたのではなく、ユーザーが自分でその情報を公開設定にしたことだった。初期設定では非公開だったのだ。誰かと共有するとか、他のツールと連携させるために、公開設定にしたのだろう。そして、そのことを忘れ、絶対に他に見せられない情報も公開してしまったのだ。

◆公開範囲を再チェックする手順

このサービスを使っていなくてよかった、と対岸の火事だとスルーする前に、一度利用しているサービスを再確認してみることをお勧めする。誰でも利用できる共有リンクが設定されている場合、URLが漏洩すれば、同時に情報漏洩が起きる可能性があるからだ。

まずは、GoogleスプレッドシートやGoogleドキュメント。文書を共有できるのだが、その方法が2種類用意されている。「リンクを知っている全員」と追加されたユーザーだけがアクセスできる「制限付き」だ。全世界に公開したくない情報は当然「制限付き」で共有しよう。

ビジネスで共有してきたスプレッドシートやドキュメントが「リンクを知っている全員」になっていることも多いので、一度確認してみよう。

WordやExcelをウェブ上で利用できる法人向けのOfficeオンラインでは共有メニューから「リンクの設定」を開き、共有設定を確認できる。対象ユーザーが「リンクを知っているすべてのユーザー」以外になっていればOKだ。

最近、流行っている情報管理サービス「Notion」もページを共有できる。ユーザーを追加するほか、全世界に公開することもできる。右上の「Share」をクリックすると、ポップアップが開くので「Share to web」を確認しよう。オンになっていれば全世界公開されている。無効化するならオフにして、共有したい相手をしたのフォームから登録すればいい。

Notionの「Share to web」という項目名は内容が明確でいい。ウェブにシェアするとはっきり書かれていれば、気軽に共有するのを避ける効果がありそうだ。

◆自分の手で公開設定していたらどうしようもない

今回、話題になったタスク管理ツール「Trello」は画面上部に公開/非公開がボタンとなって表示されている。設定を変更するには、そのボタンをクリックして「非公開」や「ワークスペース」に変更すればいい。「公開」の所には、きちんと誰でもボードを閲覧できるようになると表示されている。重要情報を書いているのに公開してしまったのは、痛いミスと言えるだろう。

今回のTrelloの件は、これまでずっと公開され続けてきたものがこのタイミングで表になっただけ。もしかしたら、あなたが利用している他のサービスで、公開設定になっている情報を意図しない人にウォッチされているかもしれないのだ。

共有機能は多くのサービスで用意されているので利用している人は多いだろう。情報漏洩の被害に遭っても、自分の手で公開設定してしまったのなら、どうしようもない。ぜひ、トラブルが起きる前に共有範囲を確認してみることをお勧めする。

<文/柳谷智宣>

―[デジタル四方山話]―

【柳谷智宣】

お酒を毎晩飲むため、20年前にIT・ビジネスライターとしてデビュー。酒好きが高じて、2011年に原価BARをオープン。2021年3月には、原価BAR三田本店をオープンした。新型コロナウイルス影響を補填すべく、原価BARオンライン「Wi杯」をスタート。YouTubeチャンネルも開設し生き残りに挑んでいる

当記事は日刊SPA!の提供記事です。

あなたにおすすめ

ランキング

ランキングをもっとよむ

注目ニュース

注目記事をもっとよむ

あなたにおすすめ