セキュリティエンジニアが気になったニュースまとめ 2021/8/2~8/8
最近話題になったセキュリティ関連のニュースから、今回は「メール誤送信」に関連するものをピックアップして紹介します。
2021/8/2
・社会福祉法人尚徳福祉会の職員が同会の職員宛へのメールで誤送信 – 都保育園委託先 事件・事故
https://www.metro.tokyo.lg.jp/tosei/hodohappyo/press/2021/08/03/08.html
令和3年7月29日(木曜日)、社会福祉法人尚徳福祉会の職員が同会の職員宛てにEメールを送付する際、とちょう保育園の保護者のメールアドレスを誤って宛先欄に入力して送信してしまったため、個人情報(メールアドレス)24件が漏えいした。
宛先を間違えて送信してしまったケースです。
2021/8/3
・「Web版うえのZOOスクール2021」参加者へのアンケート依頼メールを誤送信 – 上野動物園 事件・事故
https://www.metro.tokyo.lg.jp/tosei/hodohappyo/press/2021/08/03/11.html
令和3年7月31日(土曜日)、恩賜上野動物園が実施したイベント「Web版うえのZOOスクール2021」参加者7名に実施後のアンケート等を依頼する際、同一内容であったため一斉送信を行ったが、職員が誤ってメールアドレスをBCC欄でなく、CC欄に入力して送信してしまった。
こちらも宛先間違いですが、特にBCCに入れるべきメールアドレスをCCに入れてしまったケースです。
2021/8/3
・がん診療拠点病院担当者向けのメールで誤送信 – 大阪府 事件・事故
https://www.pref.osaka.lg.jp/hodo/index.php?site=fumin&pageId=42012
診療体制等にかかる現況報告の照会文を電子メールで送信する際、電子メールアドレス(以下、「アドレス」という。)が互いに見える状態で送信するという事案が発生しました。
こちらもBCCに入れるべきメールアドレスを宛先欄に入れて一斉送信してしまったケースです。
送信前にアドレスの入力欄に誤りがないか複数人で確認を行うルールがありましたが、実施できていなかったようです。
2021/8/3
・家計調査の世帯情報をLINEで誤送信 – 佐賀県 事件・事故
https://www.pref.saga.lg.jp/kiji00381667/index.html
7月29日(木曜日)に、知事が任命した統計調査(家計調査)調査員が5名分の個人情報を含む内容を、あて先を誤って「LINE」(コミニュケーションアプリ)で送信した事案が発生しました。
誤送信はメールだけではないようです。そもそもLINEで送信してはいけないデータを送信しようとした上で、宛先を間違えてしまったようです。
2021/8/3
・PHPMailerを利用したシステムで「CC」初期化されず誤送信 – 京都大学 事件・事故
https://www.gssc.kyoto-u.ac.jp/career/wp-content/uploads/2021/06/kojin_joho.pdf
当該システムを用いて令和3年4月20日に、同年6月に開催予定の「2021京都大学夏のキャリアフォーラム」への参加案内メールを送信(計726社、742名分)したところ、当該システムの不具合により、そのうちの658名宛てのメールのCC欄に、他社のメールアドレスが最大で16名分記載された状態で送信されていました。
これにより、メール受信者658名が、CCにセットされた1~16名分メールアドレスを取得できる状態となっていました。
メール送信ライブラリ(PHPMailer)を利用した連続メール送信機能で送信する際に、本来、送信1件ごとにクリアされるべきCC欄がクリアされずに、メール送信のたびにCC欄にメールアドレスが追加されて送信されてしまったようです。
今回の事案を受けて、当面は連続メール送信機能は使用せず、BCCにて一斉メール送信をする運用にするとのことです。
まとめのまとめ
メール誤送信は誰もが当事者になり得るインシデントです。
誤送信を防ぐために多くの企業では運用ルールを設定していると思いますが、今回取り上げた中では、そのルールを徹底できていないケースが複数件ありました。ルールは必要ですが、そのルールが大きな負担となってはいずれ守られなくなる可能性が高いと言えます。定期的に運用ルールを周知するとともに必要に応じて見直しや、システムによる対策を検討することも必要かもしれません。
さいごに、個人ですぐにできる対策として、メーラーに「Gmail」や「Outlook」を使用しているのであれば、送信取り消し機能の設定を入れることをお勧めします。
担当:HT