Trello、JIRA、Notion、Monday などの オンライン 協業 ツールは スケジュールを 立て、チーム作業の 調整を するために 使用されます。仕事の デジタル化と伴い、効率的な チームの タスク管理を 実現させるため、多くの 企業から 用いられています。
しかし、このような オンライン 協業 ツールは 誰でも 簡単に アクセスできる 場所へ 主な業務や 情報を 共有します。従って、インターネットに 情報が 漏洩されられる 問題を 防ぐには このような インターネット ベースの 協業 ツールを 非公開で 設定するか、認証と 手続きを 設定することが 不可欠です。しかし、その間、オンライン 協業ツールの脆弱性 問題は 繰り返したにもかかわらず、相変わらず 一部の ユーザーは 協業 ツールに 掲載された 内容を 誰でも 見られるよう、‘共用’として 設定しています。
Criminal IP(https://www.criminalip.io) でキーワードと html_meta_description フィルターを 利用して インターネットに 無防備で 開かれている 協業 ツールを 見つけ出せます。
キーワード検索を介して 協業ツールの脆弱性 検索
かんばんボードは 様々な 協業 ツールの 中で 利用の 頻度の高い ツールとして、Criminal IP アセット検索 (https://www.criminalip.io/ja/asset) で “Kanban” を検索すると、全て 5,370 件の かんばんボード ページが確認されます。
Search Keyword:”Kanban”
結果の中では 何の ログイン 認証も ないまま 即座に 情報を 見られる ページも 含まれています。
また、有名な 協業 ツールである Trello, Jira, Notion, Monday の 製品名でも 検索できます。
- https://www.criminalip.io/ja/asset/search?query=Trello
- https://www.criminalip.io/ja/asset/search?query=Notion
- https://www.criminalip.io/ja/asset/search?query=Jira
Search Keyword: “Trello”
Search Keyword: “Notion”
Search Keyword: “Jira”
この中で、一番有名な 協業 ツールである Jira を 検索した 結果、全て 64,813 の ページが インターネットに 漏洩されている ことが 分かりました。
“HTML Meta Description” フィルターを利用した協業ツールの脆弱性検索
html_meta_description: “Kanban” または、”Dashboard” を 独断で 検索するか、上の キーワードへ 追加して 検索すると、もう 少し セキュリティの 緩い 状態で 漏洩されて いる 協業 ツール ページを 見つけ出せます。
- https://www.criminalip.io/ja/asset/search?query=html_meta_description%3A+%22Kanban%22
- https://www.criminalip.io/ja/asset/search?query=html_meta_description%3A+%22Dashboard%22
html_meta_description: “Kanban”
html_meta_description: “Dashboard”
仮に このような ページへ ログイン 認証が かかって あっても 協業 ツールが 外部に オープンされ、簡単な キーワードの 組み合わせで 見つけられるとしたら、これは 協業 ツールが サービスされる サーバーが ブルート フォース アタックのような 追加攻撃に さらされている ことを 示します。
データの提供:Criminal IP (https://www.criminalip.io)
