本当は怖いメールの誤送信―情報漏洩に直結！？被害事例と対策方法を紹介

現代の日本企業において、業務にメールを使わない人は殆ど居ないと言っても過言ではないでしょう。

そんなメールで怖いのが”誤送信“。

文面が間違えていたり、添付ファイルを付け忘れていたり･･･といった単純なミスなら、メールを再度送って済むこともあります。

しかし、場合によっては情報漏洩に繋がることもあるのです。

今回は、”メールの誤送信で起こる情報漏洩とは何なのか“、”その対策方法とは“、といった事について解説いたします。

1年間で1,045社から3048件の事案が！他人事じゃない情報漏洩

サイバー攻撃が増加している昨今、｢情報漏洩といえばサイバー攻撃の被害｣という認識の人も多いのでは無いでしょうか？

しかし、情報漏洩はサイバー攻撃が無くとも発生する、とても身近な脅威なのです。

その原因とは、”メールの誤送信“。

JIPDEC(一般財団法人日本情報経済社会推進協会)の調査によると、『当法人に登録している1,045社の内、2021年度に発生した情報漏洩事故は3,048件』^出典1！単純計算では、“1社あたり年間3度の情報漏洩事故が発生している”ことになります。

この3,048件の情報漏洩事故のうち、1,938件と6割以上を占める原因が”誤送付”であり、”誤送付”のうち半数以上の1,128件が”メールの誤送信”でした。

すなわち、この調査上では情報漏洩事故全体の約3～4割が”メールの誤送信”によって発生しているのです。

メールの誤送信による情報漏洩事故は年々増えており、5年前の約2倍程にまで増加しています。2020年から大きく増加し始めていることから、感染症対策のためのテレワークなどが原因と考えられますね。

メールの誤送信による情報漏洩事案

メールの誤送信による情報漏洩が多い事は分かりました。しかし、現実的にはどのような状況で、どのような原因で誤送信が発生しているのでしょうか？

最近日本国内で発生した情報漏洩事案から、具体的な発生状況を見ていきます。

宛先とBCCを間違えて、一斉送信先のアドレスが丸見え！？

今年の10月、国内の保健所で、メールの一斉送信の際に設定を誤り、475件ものメールアドレスが漏洩してしまう事案が発生しました。

複数の相手にメールを送るとき、”宛先”と”CC”、”BCC”のどれかに相手のメールアドレスを入力しますよね。このとき、”宛先”または”CC”に入力されたアドレスは、メールを受け取った全ての人に見えてしまいます。そのため、一斉送信した相手に他の受信者のメールアドレスを見せたくない場合は、”BCC”にアドレスを設定します。

今回の事案では、本来“BCC”に設定するべきアドレスを”宛先”に設定してしまっていたため、メールアドレスが漏洩したのです。

原因はメール送信時のダブルチェック漏れと、認識の誤り。特に後者が大きな原因でした。業務連絡の為にメールアドレスを収集していた為、“メールアドレスは個人情報には該当しない”と認識してしまっていたのです。

個人情報保護法では、個人情報に該当する情報とは『生存する個人に関する情報』かつ『当該情報に含まれる氏名等により特定の個人を識別することができるもの』^出典2とされています。

“abc123@gmail.com”などのメールアドレスであれば、個人は特定出来ないため個人情報に該当しません。

しかし、”tanaka-tarou-0205@〇〇corp.jp”のようなメールアドレスならどうでしょう。

“〇〇”という会社に通っている、”田中太郎”さんで、生年月日が”2月5日”と、個人を特定できてしまいますよね。

こうしたメールアドレスは個人情報に該当します。特に、業務で使用するメールアドレスは”氏名”と”会社名”が記載されていることが非常に多いですから、個人情報に当たる確率は非常に高くなっています。

また、個人情報に該当しないアドレスなら個人情報保護法には違反しないものの、自分のアドレスが他人に漏洩してしまうのは感情として嫌ですよね。取引先様はもちろん、自社の顧客が”嫌な感情”を抱いてしまうことは企業としては避けたいところです。ですから、法に違反しないとしても慎重に取り扱う必要があります。

この保健所ではダブルチェックの徹底と、個人情報保護についての情報を職員へ共有することで、再発防止に努めているとのことです。

間違ったアドレスにメールを転送！4,890件ものメールが漏洩！？

今年の3月、国内の大学でメールの誤送信により4,890件ものメールが漏洩していたことが発覚しました。

この事案では、教員が大学用のメールアカウントから、Gmailへ自動的にメールが転送されるように設定していました。

しかし、設定の際に誤って転送先のアドレスを“@gmai.com”と入力。小文字の”l”が抜けた状態で設定してしまったのです。

この設定を行ったのは2021年の5月。そこから情報漏洩が発覚する今年の3月までの10ヶ月もの間、その教員へ送られたメールが”@gmai.com”へ送られ続けていました。

今回の事案で不運だったことは、転送先のアドレスが“ドッペルゲンガードメイン”だったこと。

通常、間違ったアドレスにメールを送っても、そのアドレスが存在していなければメールは届きません。

しかし、この”ドッペルゲンガードメイン”は、メールアドレスの打ち間違いを狙って作られたアドレス。

“@gmail.com”の利用者が多いことを逆手に取り、そのアドレスに酷似した”@gmai.com”というアドレスをあえて作っておくことで、誤送信されたメールを収集。受け取ったメールから送信者の情報や、メールに記載された個人情報を盗む手口なのです。

同大学は既に転送設定を停止しており、今後は再発防止策を講じるとのこと。漏洩した情報についても、現時点で悪用は確認されていないとのことです。

メールの誤送信の原因と対策

以上の2つの事案を見て分かる通り、誤送信の原因は、主に以下の2つです。

• 一斉送信の際に、BCCではなく宛先やCCを使用
• 送信先や転送先のメールアドレスの間違い

では、どのように防げば良いのでしょうか？

一斉送信を行う際は、”BCC”の設定を正しく使う

一斉送信による宛先は正しく設定しなければ、受け取った全員が他の送信先のアドレスを確認できてしまいます。

このミスは非常に発生しやすい上に、情報漏洩に直結してしまうのが困りどころ。

一斉送信を行う際、受信者に他の受信者のアドレスを見せたくない場合は、必ず”BCC“に設定しましょう。

逆に、他の受信者にメールアドレスを見せたい場合は”CC”を使いましょう。

ちなみに、”宛先”には文章を直接やり取りする人のアドレスのみを入力するのが一般的です。

メールの送信前に確認を徹底する

力技ではありますが、送信前に目で確認するだけでも効果はあります。

最低限、下記の3点は必ず確認を行いましょう。

• 送信先のメールアドレスは1文字違わず一致しているか？
• 一斉送信でアドレスを他の受信者に見せたくない場合、“BCC”にアドレスを記載しているか？
• 添付ファイルを送信する場合、ファイルは添付し忘れていないか？

また、可能であれば“ダブルチェック”を行うのも効果的。他の従業員さんなどにダブルチェックをしてもらい、ヌケモレが無いように徹底しましょう。

メールの誤送信防止ツールを使う

一部のセキュリティゲートウェイと呼ばれるセキュリティ機器には、メールの誤送信を防ぐ機能が搭載されています。

メールの宛先が多い場合に自動的に”BCC”へ変更したり、送信されたメールを一定時間保留しておくことで、後からミスに気づいてもメールを訂正できる機能などがあります。

また、メールの誤送信を防ぐことを目的として作られた法人向けのソフトウェアもあります。

もちろん、人の目で確認を行うことは前提となりますが、限界があるのも事実。こうした機器やツールを使うことで、万が一のミスにも対応できます。

まとめ

情報漏洩は遠い存在のようで、実は身近なところに潜んでいます。アドレスを1文字間違えただけで重大な情報漏洩事案に発展してしまうことも少なくないのです。

基本的な対策は人の目でしっかり確認をすること。事前に社内ルールとしてチェックリストを作り、必ずリストの確認を行うなどの対策をすれば、誤送信の多くは防げます。

しかし、人の目に限界があるのも事実ですので、メールのやり取りが多い企業様は、誤送信防止の機器やツールの導入を一度考えてみては如何でしょうか？

また、弊社では前述のセキュリティゲートウェイなど、メールを始めとしたネットワーク全般のセキュリティ機器を取り扱っております。メールの誤送信防止はもちろん、近年被害が増えているメールを使ったサイバー攻撃“Emotet”など、メール全般のセキュリティについてもご対応いたします。

茨城県の事業者様なら、現状調査からお打ち合わせ、プランニングまで無料でご対応しております。｢ネットのセキュリティを対策したい！｣という方は、お気軽にこちらのフォームよりお問い合わせ下さいませ。

出典・関連リンク

出典1：一般財団法人日本情報経済社会推進協会（JIPDEC）”2021年度「個人情報の取扱いにおける事故報告集計結果」“

出典2：総務省”＜3　個人情報の該当性＞“