協業ツールの脆弱性で企業の情報漏れが起こる理由
2022.06.30 01:07
Trello、JIRA、Notion、Monday などの オンライン 協業 ツールは スケジュールを 立て、チーム作業の 調整を するために 使用されます。仕事の デジタル化と伴い、効率的な チームの タスク管理を 実現させるため、多くの 企業から 用いられています。
しかし、このような オンライン 協業 ツールは 誰でも 簡単に アクセスできる 場所へ 主な業務や 情報を 共有します。従って、インターネットに 情報が 漏洩されられる 問題を 防ぐには このような インターネット ベースの 協業 ツールを 非公開で 設定するか、認証と 手続きを 設定することが 不可欠です。しかし、その間、オンライン 協業ツールの脆弱性 問題は 繰り返したにもかかわらず、相変わらず 一部の ユーザーは 協業 ツールに 掲載された 内容を 誰でも 見られるよう、‘共用’として 設定しています。
Criminal IP(https://www.criminalip.io/ja) でキーワードと html_meta_description フィルターを利用してインターネットに無防備で開かれている協業ツールを見つけ出せます。
しかし、このような オンライン 協業 ツールは 誰でも 簡単に アクセスできる 場所へ 主な業務や 情報を 共有します。従って、インターネットに 情報が 漏洩されられる 問題を 防ぐには このような インターネット ベースの 協業 ツールを 非公開で 設定するか、認証と 手続きを 設定することが 不可欠です。しかし、その間、オンライン 協業ツールの脆弱性 問題は 繰り返したにもかかわらず、相変わらず 一部の ユーザーは 協業 ツールに 掲載された 内容を 誰でも 見られるよう、‘共用’として 設定しています。
Criminal IP(https://www.criminalip.io/ja) でキーワードと html_meta_description フィルターを利用してインターネットに無防備で開かれている協業ツールを見つけ出せます。
キーワード検索を介して協業ツールの脆弱性検索
かんばんボードは様々な協業ツールの中で利用の頻度の高いツールとして、Criminal IP IT資産検索 (https://www.criminalip.io/ja/asset) で "Kanban" を検索すると、全て 5,370 件の かんばんボード ページが確認されます。
Search Keyword:”Kanban”
Criminal IPのIT資産検索でKanbanをキーワード検索した結果
結果の中では 何の ログイン 認証も ないまま 即座に 情報を 見られる ページも 含まれています。
結果の中では 何の ログイン 認証も ないまま 即座に 情報を 見られる ページも 含まれています。
ログイン認証の手続きがないまま公開されている協業ツールページ
この中で、一番有名な協業ツールであるJiraを検索した結果、全て64,813のページがインターネットに漏洩されていることが分かりました。
ログイン認証の手続きがないまま公開されている協業ツールページ
また、有名な 協業 ツールである Trello, Jira, Notion, Monday の 製品名でも 検索できます。
Search Keyword: "Trello"Search Keyword: "Notion"Search Keyword: "Jira"
- https://www.criminalip.io/ja/asset/search?query=Trello
- https://www.criminalip.io/ja/asset/search?query=Notion
- https://www.criminalip.io/ja/asset/search?query=Jira
この中で、一番有名な協業ツールであるJiraを検索した結果、全て64,813のページがインターネットに漏洩されていることが分かりました。
"Jira" でキーワード 検索して 確認した インターネットに 漏洩された Jira 関連の ページ
"HTML Meta Description" フィルターを利用した協業ツールの脆弱性検索
html_meta_description: "Kanban" または、"Dashboard" を 独断で 検索するか、上の キーワードへ 追加して 検索すると、もう 少し セキュリティの 緩い 状態で 漏洩されて いる 協業 ツール ページを 見つけ出せます。
html_meta_description: "Kanban"html_meta_description: "Dashboard"
- https://www.criminalip.io/ja/asset/search?query=html_meta_description%3A+%22Kanban%22
- https://www.criminalip.io/ja/asset/search?query=html_meta_description%3A+%22Dashboard%22
html_meta_description: "Kanban" を 検索した Criminal IP 結果
仮に このような ページへ ログイン 認証が かかって あっても 協業 ツールが 外部に オープンされ、簡単な キーワードの 組み合わせで 見つけられるとしたら、これは 協業 ツールが サービスされる サーバーが ブルート フォース アタックのような 追加攻撃に さらされている ことを 示します。
html_meta_description: "Dashboard" を検索して検出した
ある協業ツールのログインページ
仮に このような ページへ ログイン 認証が かかって あっても 協業 ツールが 外部に オープンされ、簡単な キーワードの 組み合わせで 見つけられるとしたら、これは 協業 ツールが サービスされる サーバーが ブルート フォース アタックのような 追加攻撃に さらされている ことを 示します。
データの提供
- Criminal IP
▶ https://www.criminalip.io/ja