# データの取り扱い関連 ## よくある情報漏えい事故 ### Trelloの設定ミス タスク管理ツールの[Trello](https://trello.com/)に記載した情報が漏洩するケース 他社と共有する目的などで公開範囲の設定を「公開」にしていると起こってしまう e.g. [アズールレーン(アズレン)運営yostar社Trello流出](https://shipslikeverylight.exblog.jp/30440101/) 「site:trello.com お世話になっております」で検索するとビジネスメールが漏れている様子が分かる ![](https://i.imgur.com/dtfu6qF.png) Trelloに限らず、公開範囲の設定には気をつけよう ### GitHubの設定ミス 間違って公開リポジトリに社内情報を上げてしまう事故は非常によくある e.g. [GitHubへのソースコード流出問題、防ぎようはあるのか 専門家に聞く](https://www.itmedia.co.jp/news/articles/2102/01/news140.html) その他、オープンソースにしたリポジトリから社内情報が漏れる、dotfilesリポジトリから社内サーバ接続スクリプトが漏れるとかもよくある GitHub特有の注意点としては、機密情報が最新のcommitから消えていても過去のcommitに残っていればそれを抽出できる点(機密情報を消してGitHubにforce pushしたとしても、commit hashを指定すれば消されたcommitは参照できる) 公開しているリポジトリに、秘密の文字列が含まれていないか調べるのには[truffleHog](https://github.com/dxa4481/truffleHog)が便利(トークンっぽい文字列をcommit historyから探してくれる) ### 誤爆 投稿先を間違えるケース e.g. [LINEの個人向けローン、顧客の個人情報が漏えい 担当者が「OpenChat」に誤って投稿](https://www.itmedia.co.jp/news/articles/1909/20/news070.html) ヒューマンエラーを事前に防ぐのは難しい ### 秘密のドメイン 社員しか知らないドメイン名なので認証がなくても安全!という運用は危険 公衆Wi-Fiに接続した時に盗聴されて漏れる(SNIや平文DNSクエリ) その他、そのドメインで証明書発行をすると、[CT](https://en.wikipedia.org/wiki/Certificate_Transparency) logからドメインがバレたりする CT logを検索するサービスで「yodayoda.co」以下のドメインを検索した結果、「api-staging.yodayoda.co」というステージング環境のドメインが見つかっていることが分かる https://crt.sh/?q=%25.yodayoda.co ![](https://i.imgur.com/RAnUiUB.png) ### 退職者管理 下のシャドーITと関連して退職者が引き続き社内情報を参照できることによって事故が起きたりすることもしばしば ### シャドーIT [シャドーIT](https://ja.wikipedia.org/wiki/%E3%82%B7%E3%83%A3%E3%83%89%E3%83%BCIT)(組織が把握していない、従業員がこっそり使っているITサービス)によって起こる問題も多い e.g. 取引先とのやり取りで個人使用のLINE、Facebookメッセンジャーを使う、Slack Connectではなく取引先との専用のSlackワークスペースを作る 会社として管理できないため、情報漏えい以外にも退職者管理ができない、事故発生時の追跡が困難になるといった問題が起こる ## 予防?検知? 対策はどうしたらいいのか シャドーITは会社で使用しているサービスの不便さが原因の1つなので、不便さを解消することで防げる可能性がある 余裕があればデータの公開範囲の設定を定期的に見直すのもよいかも 重要な作業の前には複数人でチェックをする? →3人以上でチェックをするとむしろ逆効果という話も... ![](https://i.imgur.com/sKMOFDT.png) 出典: https://kouseikyoku.mhlw.go.jp/shikoku/kenko_fukushi/000085434.pdf 公開範囲設定のミスや、他社サービス起因の情報漏えいを防ぐのは困難なので、検知方法を考えるのも有効 早く検知して早く対応できるようにしよう ### 検知 - GitHubやGoogleで検索 - 会社で使用しているドメインやキーワードで定期的に検索 - 新しく検索に引っかかることがあれば通知をする - https://www.google.com/alerts - アクセス監視 - 社内サービスに外部から不審なアクセスがないか? - Have I Been Pwned - https://haveibeenpwned.com/ - いろんなWebサービスに登録していると、そのサービスが原因でパスワードが漏れることがある - パスワードを使いまわしていると、他のサービスにも侵入されるかも - (パスワードの使いまわしはやめよう) - Have I Been Pwnedはメールアドレスを入力してパスワードが漏れていないか検索してくれるサービス - 会社のメールアドレスのドメインで検索して通知もしてくれる