やじうまの杜
国内企業の採用情報がTrelloでダダ漏れだと話題に ~公開設定を今すぐ見直して!【4月6日追記】
運営元のアトラシアン社が声明を発表
2021年4月6日 14:41
“やじうまの杜”では、ニュース・レビューにこだわらない幅広い話題をお伝えします。
採用情報を管理する“Trello”ボードが公開設定になっており、就活生の個人情報がダダ洩れになっていると“Twitter”で話題になっています。なかにはパスワードやクレジットカード情報といった機密情報まで公開状態で管理していたケースまであったとかなかったとか。本当に恐ろしい……。
騒動が終息したので説明すると、昨日Trelloというタスク管理アプリで就活生の情報を"公開設定"のまま管理している複数企業が話題になり5chで祭りに発展、それを私がまとめた際に流出情報が見れるURLを貼ってしまったため謝罪しツイ消ししたという流れです。なお、今回流出した情報は多岐に渡っていますpic.twitter.com/6bu9nmgxld
— 滝沢ガレソ🌈🌱 (@takigare3)April 6, 2021
“Trello”は、ボード・リスト・カードを使ってタスクをビジュアルに管理できるサービスです。
たとえば“やらなければいけないこと”ボードのなかに、“実行前”や“実行中”、“完了”といったリストを作ります。そして、タスクが発生したら“実行前”リストにカードを作成し、実施状況にあわせて“実行中”や“完了”のリストへドラッグ&ドロップで移動させるという運用にすれば、いくらタスクがあってもカードの配置で状況が簡単に把握できるというわけ。
これはほんのちょっとした一例で、使い方はまったくの自由。“日付が変わったらカードをリストからクリアする”といった自動化も可能なので、効率のよいタスク管理にはもってこいのツールです。
そんなわけで、“Trello”はITの苦手な国内の企業でも割と導入されているのですが、ボードの公開設定がマズいところが少なくないのだとか。実際、Googleで検索すると“これは外部の目に触れるとヤバいんじゃ……”というボードがちらほら目につきます。
編集部にて試してみたところ、ボードを作成したときの公開設定は初期状態で“チーム”になっていました。この状態であれば、Google検索でたどり着くことはできません。
Google検索でボードが丸見えになっている会社は、外部と情報を共有する過程で誤って“公開”にしてしまっているのでしょう。公開範囲の設定画面には一応、
インターネットに接続(Google を含む)しているすべての人がこのボードを閲覧できます。ボードメンバーのみが編集できます。
という注意書きはあるのですが、“Google検索に引っかかっちゃう”という意味であることはわかりにくいかもしれません。
“自分のところは大丈夫かな……”と不安になった場合、わかりやすい確認方法を教えてくださっている方がいらっしゃるので、それを参考にチェックしてみてください。
【Trelloのボードが非公開かどうか確認する方法】
— 伊藤 祐策(パソコンの大先生) (@ito_yusaku)April 6, 2021
・チェックしたいボードを開いてください
・Ctrl+Shift+NでChromeのシークレットウィンドウを開きます。
※Edgeの場合はInPrivateウィンドウが開きます
・ボードのURLをコピペして貼り付けてください
・「ボードが見つかりません」と表示されたらOK
ちゃんと非公開になっていれば、以下のような表示になるはずです。
この問題はなにも今に始まったことではなく、以前からときどき指摘されていました。また、“Trello”に限った話でもありません。社外ユーザーと情報をやりとりするケースではとくに、安易に公開範囲を広げないように注意する必要がありそうです。
うわっ…私のtrello、丸見え…?(簡易チェックツール付き)https://t.co/goY4Tj7fLI#Qiita
— 入門ゆとり (@megascus)April 6, 2021
3年前から丸見えだったのか。
4月6日編集部追記: 「Trello」を運営するアトラシアン(株)は4月6日、ボード内の情報が公開されている事象について声明を発表した。それによると、同社は現在、問題が発生しているボードのプライバシー設定を確認するなど、ユーザーが意図しない情報の漏洩を止めるため、ユーザーのサポートに尽力しているとのこと。