メール誤送信による情報漏えい事故が発生・・！9月のマンスリーセキュリティレポート

サイバー犯罪者は常にターゲットを探しており、攻撃の手法や技術も進化させています。そのため、強力なセキュリティ対策を構築していても、100％の防御は難しいのです。マンスリーセキュリティレポートでは、特徴的な情報漏えい事件やセキュリティ侵害事件、業界の話題などをピックアップし、考察していきます。

【目次】
・2016年9月の情報漏えい事件
・漏えい事件の原因を考察
・どうすれば漏えい事件を防げたのか
・2016年9月のトピック

2016年9月の情報漏えい事件

　2016年9月も、いくつかの情報漏えい事件が発生しました。今回はその中から、2つの事件を取り上げます。まず9月2日、内閣官房において国土強靱化推進室の担当者が外部へメールを送付した際、メールアドレスが流出する事故が発生したと発表しました。

　これは8月31日17時頃、担当者が災害報道関係者に対し、「平成29年度国土強靱化関係予算概算要求の概要」の資料配付について周知を図る目的で、災害報道関係者39名にメールを送信する際にミスが発生したというものです。本来、送付先のメールアドレスを「BCC」に設定すべきところを「TO」に設定したまま送付したため、メールの受信者が他の受信者のメールアドレスが見える状態になっていました。

　担当者はその後メール送信ミスに気づき、同日20時頃、39名全員に対して誤って送信したメールの削除を依頼しました。同室では、メール誤送信防止機能およびその運用について職員に改めて周知徹底を図るとともに、必要に応じて外部への複数の受信者宛のメールの際には、複数の職員によるチェックを経て行うとしています。

　9月13日には、株式会社ユメオカにおいて、同社が契約する顧客管理のサービスプロバイダー（カートシステム）である株式会社イーエムズィーが運営する メール商人サーバ（EMZサーバ）に対し、第三者による不正アクセスがあり、そこから一部の顧客のクレジットカード情報が流出する事件が発生しました。

　これは2016年3月初旬、同社の顧客のカード情報に漏えいの懸念があるとカード会社より連絡があり、同社は第三者調査機関に調査を依頼、その結果、同社のサーバでなくEMZサーバからのクレジットカード情報漏えいの可能性があると判明しました。同社では、同社のWebサイトで購入申し込みを行うと、自動的にEMZサーバのカートシステムに移行するようにしていました。

　調査の結果、2010年12月7日から2016年3月3日までの間に同社の商品をクレジットカードで購入した顧客、最大705件のクレジットカード情報が漏えいした可能性がありました。漏えいした可能性のある個人情報は「会員番号」「カード会員名」「有効期間」「住所」「メールアドレス」であるとしています。同社では現在も、クレジットカードの使用を停止しています。

 

漏えい事件の原因を考察

　内閣官房の事件は、「メール誤送信」に該当するものです。メールの送信先には「TO」のほかに「CC」「BCC」を設定できます。これらは複数の相手にメールを送信する場合の設定ですが、「CC」に設定すると受信したメールにすべての受信者が表示されてしまいます。これを非表示にするものが「BCC」です。

「BCC」に複数の宛先を設定すれば、受信者には表示されない

複数のメール受信者を、本来「BCC」に設定すべきところを「CC」にしてしまうというミスは、非常に多くなっています。特定非営利活動法人日本ネットワークセキュリティ協会（JNSA）による調査でも、2015年に発生した情報漏えい事件の原因うち約25％が「誤操作」、漏えい媒体・経路の約12％が「メール」となっています。

2015年の情報漏えいの原因と経路（JNSA「2015年 情報セキュリティインシデントに関する調査報告書【速報版】」より）

　ユメオカの事件では、サーバからクレジットカード情報が漏えいしたことでなく、委託先で情報漏えいが発生したことにフォーカスしたいと思います。さまざまな業務を外部委託するケースは多いと思いますが、たとえ委託先で発生した事故であっても、ニュースなどで表面に出るのはほとんどの場合、委託元の社名です。委託先を選ぶことも自社のリスクにつながる例といえます。

 

どうすれば漏えい事件を防げたのか

　複数の宛先にメールを送信する際には、「CC」と「BCC」を使い分ける必要があります。受信者にほかの受信者の情報を表示させたくない場合には、宛先（TO）を自分に設定し、ほかの受信者をすべて「BCC」に設定します。しかし、多くのメールソフトは見た目で区別しにくく、設定ミスが発生しやすくなっています。

　メール誤送信を防ぐためには、送信前に「CC」「BCC」の設定を見直すことが一番ですが、それが難しいことは調査結果が示しています。何らかのシステム的な対策が必要でしょう。たとえば、送信ボタンを押してもすぐには送信されず、一定時間が経過してから再度確認して送信するシステムや、メールを上長経由として上長の承認がないと送信されないシステム、あらかじめ設定した項目に該当する場合にアラートを発するシステムなどがあります。

　たとえば、「CC」に大量の宛先が設定された場合にアラートが表示されるようなシステムであれば、かなりの確率でメールの誤送信を防ぐことができます。また、たとえシステムを導入していても使われなければ意味がありません。内閣官房の漏えい事件では「メール誤送信防止機能およびその運用について職員に改めて周知徹底を図る」とありますので、対策は導入されていたと思われます。対策機能の周知徹底も重要な要素といえます。

　業務の委託については、マイナンバー制度で「委託先は委託元と同程度のセキュリティ対策を行うべき」とされています。この項目は、個人情報保護法の改正により統合されます。また、改正個人情報保護法では、企業が保持する個人情報の件数の下限が撤廃されます。つまり、すべての企業に個人情報保護法が適用され、違反すると厳しい罰則があります。委託先の選定には十分な調査が必要といえるでしょう。

 

2016年9月のトピック

　2016年9月には、Apple社からスマートフォンの最新型「iPhone 7」シリーズが発売されました。すでに手にしている方も多くいらっしゃるでしょう。最新のテクノロジーを手にする喜びは大きいですが、同時にリスクもあります。たとえば、新型のIT機器は初期不良があったり、発売に間に合わせるために検証が不十分である可能性が高くなっています。

2016年9月に発売された、アップル社の「iPhone 7」シリーズ

　特に、今回の「iPhone 7」シリーズでは、OSもメジャーバージョンアップした「iOS 10」が搭載されています。ソフトウェアにも同様に初期不良の問題があり、たとえば最初のバージョンとなった「iOS 10.0.0」では、既存の「iOS 9」のユーザーから、インストールがうまくいかなかったり、バックアップデータが消えるといった不具合が報告されました。

　アップルでは、新バージョンが公開された当日のうちに、「iOS 10.0.1」を公開しています。これは不具合の解消のほか、カーネルメモリ漏えいの脆弱性が確認されたためです。さらに9月23日には、「iOS 10.0.2」が公開されています。ここでは、写真アプリやイヤホンのリモコン操作などの不具合に対応しています。新バージョンは、安定するまでに一定の期間が必要なのです。

　iPhoneのように人気の高いデバイスは、新製品の登場前にはフィッシング詐欺の標的になり、登場後は脆弱性を狙われることになります。新しいハードウェア、あるいはメジャーバージョンアップの後には脆弱性が存在する可能性が高いので、バージョンアップ情報を意識するようにしましょう。