うっかりミスで信用失墜!個人情報の流出を防ぐ社内メールの運用ノウハウとは?

f:id:PentaSecurity:20181010111035j:plain

うっかりミスで信用失墜!

個人情報の流出を防ぐ社内メールの運用ノウハウとは?

 

個人情報流出は非常に頻繁にニュースに取り上げられていますが、流出の原因となるのは外部からの不正アクセスなどによるハッカー攻撃だけではありません。内部のメールの取り扱いの不注意やミスによって、個人情報が流出してしまうケースが意外にあります。実は情報漏えいの原因としては、ヒューマンエラーによる「うっかりミス」が全体の8割に及び最も多いと分析結果が出されています。

 

その中で、Eメールが原因の情報漏えいが近年問題視されています。メールは現在企業においてコミュニケーションツールとして必要不可欠なものですが、扱い方を間違えるとメールアドレス、氏名、口座情報等の情報漏えいのリスクにさらされてしまうことになります。今回は企業のメールの取り扱いにおける情報漏えいの実態や、原因、実際の事例などを見ていきたいと思います。

 

 

2017年の個人情報漏えいインシデントの分析

JNSANPO 日本ネットワークセキュリティ協会)から毎年情報漏えいについてのインシデントレポートが出されていますが、2017年のレポートでも漏洩原因では「誤操作」が25.1%で原因の1位としてあげられています。

 

f:id:PentaSecurity:20181010111119j:plain

そして、漏えい媒体・経路としては紙媒体、インターネットについで電子メールが3位にあげられています。

 f:id:PentaSecurity:20181010111136j:plain

 

 

*引用:2017年情報セキュリティインシデントに関する調査報告書

 

因みにこちらのレポートでは一件あたりの漏えい人数は1万4,894人、その平均想定損害賠償額は5億4,850万円となっています。一度の「誤送信」でこれだけの損害が企業に発生してしまう実態が浮き彫りになっています。

 

 

メールによる個人情報流出の原因

 

1.メールのご送信

最も一般的なミスとして、メールの誤送信があげられます。単純に送り先を間違えてしまう他、セミナーなどのお礼として一斉送信した際に、「Bcc」ではなく「To」「Cc」などにアドレスを入力してしまい、受信者全員に他の人のメールアドレスが分かってしまうなどのエラーが起こっています。

 

あて先を間違えてしまうケースの場合、重要な契約書や見積もり、相手の口座情報などを添付ファイルにしてしまった場合、誤送信先にそういった機密情報が漏れてしまいうっかりミスではすまなくなってしまいます。誤送信を防ぐには宛先のオートコンプリート機能を使用しない他、添付ファイルにはパスワードをかけ、パスワードは別メールで送付するなどが基本的な対策になります。

 

2.フリーメールの使用

安全性に関してはプロバイダーの有料メールが安全で、GmailやYahooメールなどのフリーメールが危険とは一概には言えません。しかし、これらのフリーメールは過去にも大量にパスワードの流出等の被害が発生しています。

 

GmailHotmailYahoo!、そしてロシアで広く使われている「Mail.ru」などのウェブメールサービスから、合計2億2700万件というとてつもない数のメールアドレスとパスワードがセットになって流出していたことが判明しました。詳細は各サービスとも調査中とのことですが、気になった人は念のためパスワードを変更しておいたほうが良さそうです。”

 

*引用:https://gigazine.net/news/20160506-big-data-breache-found-major-email-service/

 

こちらは2016年05月06日に大々的に報じられたニュースです。これより以前にも度々Gmailや米Yahoo!メールから大量に情報流出したというニュースが報道されています。過去の事例では流出の原因はフィッシング詐欺によるものと分析されていますが、こうした大手のフリーメールサービスは、巧妙にハッキングによって狙われやすい傾向にあると言えます。ビジネスにおいては、やはりフリーメールを使うのは避けるのが無難です。

 

3. 添付ファイルによるマルウェア感染

メールの添付ファイルからマルウェア感染する場合があります。マルウェアが埋め込まれるファイルには、マイクロソフト社のOfficeアプリケーション(Word、Excelなど)やpdf形式のファイル、実行形式のプログラム(拡張子が.exe など)が、多く使われます。うっかりマルウェアの仕掛けられた添付ファイルなどを開いてしまい感染してしまうと、企業内PCをウイルス感染させ、遠隔操作によってシステムから機密情報の窃取やデータ改ざんなどが起こる「標的型攻撃」を受けるケースもあります。

こうしたマルウェアによる情報漏えいを防ぐには、最新のパターンファイルに更新されたウイルス対策ソフトをしっかり使用する他、不審な添付ファイルは不用意に開かないなども基本的な対策になります。

 

4. 実際の事例

事例1)

情報提供メール1450件を誤送信、メアドが流出 - 機器販売会社

 

"テクノ・バークシャーは、顧客向けの情報提供メールで誤送信が発生し、メールアドレスが流出したことを明らかにした。

 

同社によれば、9月25日18時半前、取引先やセミナーで名刺交換した顧客へ送信した案内メール1450件において、誤送信が発生したもの。

 

メールを3回にわけて送信したが、送信先を誤って宛先に設定したため、同一グループ内の受信者間でメールアドレスが閲覧できる状態となった。”

www.security-next.com

 

 株式会社テクノ・バークシャーは公式HPで経緯を記したお詫びを掲載していますが、セミナー参加者宛の一斉メールで、BCCに入れるべきだったアドレスを全てToに入力してしまい、全員にメールアドレスが分かってしまう形で送信をしてしまいました。初歩的なミスとはいえ、メールアドレスの流出事故となると、会社の信用問題に関わるような事態に発展してしまいます。

 


事例2)

 

業務使用が禁止されていたフリーメールへ不正アクセス、添付ファイルの個人情報が流出(島田市

 

"静岡県島田市は9月28日、同市農林課が業務上使用を禁止されているフリーメールを使用していたところ当該アカウントが不正アクセスされていたことが判明したと発表した。”

scan.netsecurity.ne.jp

 

  

静岡県島田市で起こった事例では、アクセスログ履歴の解析で、日本だけでなくアメリカ、中国、台湾など海外からも不正アクセスを受けて、添付文書に含まれる氏名、電話番号、生年月日などの個人情報が合計2,446件流出したとされています。セキュリティ上不安のあるフリーメールの使用、推測されやすいパスワードの利用、個人情報を含む文書を添付ファイルとして送信した事などがあげられます。

 

事例3) 

電子メールの誤送信で委託業者131社の情報が流出、東京都公園協会

 

"公立財団法人東京都公園協会は2018年9月26日、電子メールの誤送信により情報流出が起きたことを明らかにしました。

 

同協会によると、1回の誤送信で合計131社の情報が流出。関係者に謝罪を表明するとともに、再発防止に努める考えを示しています。”

cybersecurity-jp.com

 

 

こちらもケース1と同様の宛先をBCCではなくToに入れてしまった誤送信の事例になります。受信者からの連絡で誤送信が判明したとの事ですが、指摘されるまで誤送信に気が付かないのも問題です。

 

事例4)  

日本語メールで不正「iqyファイル」が大量流通 - 国内IPでのみ感染活動を展開

 

”拡張子が「.iqy」の「Officeクエリファイル」を使用し、マルウェアに感染させる攻撃が確認されている。8月上旬の大規模な攻撃では、日本国内でファイルを開いた場合にのみ「ダウンローダー」として動作し、マルウェアに感染させようとしていた。”

www.security-next.com

 

 

こちらはメールの添付ファイルを利用したマルウェア感染を狙った事例の報告です。“.iqy” 拡張子はExcelに関連づけられたものですが、トレンドマイクロの分析によると、ファイルを開くと EXCEL が起動し、不正スクリプトファイルをダウンロードさせて最終的にオンライン銀行詐欺ツール「URSNIF(アースニフ)」に感染させるなどの攻撃が行われていたとの事です。

 

まとめ

事例ではほんの数例を取り上げましたが、こうしたケースは日々驚くほど多く発生しています。情報漏えいは企業の競争力の低下や、信用失墜・賠償問題によって事業継続に大きな影響を及ぼすリスクを秘めています。こちらで取り上げたものは、気を付けて対策すれば防止できるものですから、是非参考にして情報漏えいを起こさないようにしましょう。