こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
近畿大学九州短期大学は1月23日、就職支援に係るメール誤送信による個人情報の流出について発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】メールの誤送信により、個人情報が流出してしまったということです。今回は、誤送信先として挙げられているメーリングリストの仕組みや、メールの代替手段として挙げられるチャットとの違いについて、セキュリティの観点から説明します。
今回のインシデントでは、就職活動中の学生10名に対する活動状況等のヒアリング結果をまとめた報告書が流出してしまったということです。原因として、教員メーリングリスト宛のメールに添付して送信したつもりが、誤って休講等を通知するための学生メーリングリスト宛に送信したことが挙げられています。
個人情報が流出した学生10名に個別に内容報告と謝罪を行っており、誤送信メールを受信した44名の学生にも謝罪と当該メールの削除を依頼しています。再発防止策として「2名以上で確認後送信」「メール誤送信防止機能の導入」「資料へのパスワード設定」「事例共有」を行うことが挙げられています。
メーリングリストは、1つのメールアドレス宛に送信すると、複数の宛先に一斉送信される仕組みです。複数のメールアドレスを一つ一つ入力する必要がない一方で、メーリングリストのメンバーが誰であるか理解されないまま、今回のように不適切なメールが送信されてしまうリスクがあります。
メールとチャットの違いとして、チャットでは送信者がユーザ認証を経てメッセージを送信しているため、メールと比較してなりすましがされにくい特徴があります。誤送信については、そのメッセージを取り消すことはできますが、取り消す前に読まれてしまったり、ファイルをダウンロードされてしまうと、メールと同じ状態になってしまいますので、根本的な対策にはなりません。
また、添付ファイルをパスワード付きZIPにして送信することは、一般的に推奨されません。理由として、そのパスワードも同じメールにて送信されることで、添付ファイルにアクセスできる人はパスワードにもアクセスできる可能性が高いからです。
さらに、パスワード付きZIPファイルの中身は外部から読み取ることができないため、セキュリティチェックも迂回されてしまうことが挙げられます。代替案として、ストレージサービスを活用して添付ファイルのダウンロードにユーザ認証をかけることが推奨されます。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ