プロジェクトオーガナイザの吉田聖書です。
11月21日に、埼玉大学が公式サイトにニュースを掲載しまして、メール転送先の設定ミスで情報漏洩が発生したと公表しました。
埼玉大学公式サイトに掲載されたニュースはこちら。
メール転送先ミスによる情報漏えいについて(2022/11/21 埼玉大学)
埼玉大学のとある教員が、大学から払い出されたメールアカウントから、個人のメールアドレスに転送設定をしました。その時に、転送先のメールアドレスをタイプミスしてしまい、しかもミス入力したメールアドレスが存在するアドレスだったために、情報が漏洩したということです。
これ、そもそも大学のメールカウントから個人のメールアドレスへの転送設定を許容していたという点がまず指摘されなければいけないのかなと思います。例えば個人のPCやスマートフォンのメールクライアントソフトから、直接大学のメールアカウントにアクセスする方式ではだめだったのかということがあります。
一昔前は、個人所有の端末で勤務先のメールアカウントにアクセスさせない組織がほとんどでした。近年はリモートワークが当たり前になってきて、もちろん勤務先が貸与する端末を持ち歩くケースもありますが、BYODといって個人所有の端末を積極的に活用する動きもあります。なので、わざわざメールを自動転送しなければいけない状況は減ってきていると思われます。
仮に埼玉大学がポリシーとして、大学アカウントの学外からのアクセスを禁止していたとすると、メールの自動転送が可能だったというのはセキュリティホールですから、セキュリティ運用の不備と言えなくもないです。ただ、メールの誤送信なんて日常的にどこの組織でも発生していますから、自動転送の設定ミスだけを問題にするというのも違う気がしています。
一般的には、メールアドレスの間違いというのはエラーメールが返ってくることによって認識します。ところが、今回のように間違えて入力した文字列がたまたま存在するメールアドレスだった場合は、エラーメールが返ってこないので、そのメールアドレスの所有者から特段の指摘がない限りは気付きません。
更に今回のケースにおいて不運だったのは、間違えて入力したドメインが「ドッペルゲンガードメイン」と呼ばれている、入力ミスを想定して設置されたドメインであったことです。入力ミスを想定しているため、そこに来たメールは全て(エラーを返さずに)取得するようになっていたのでしょう。
結果的に約10か月間、設定ミスに気付かなかったということです。もっと早く気付きそうなものですが…
※ この記事は、先日公開した以下の音声コンテンツを基に編集したものです。
これについての対策としては2点挙げておきたいと思います。
まず、個人レベルですぐにできる対策として、メール関連の設定をしたら必ずテストを行うということです。転送設定が正しくできているかを、それこそ個人のメールアドレスから勤務先のアドレスに送ってみて、それが転送先のアドレスに正しく届いているかを確認するということです。
これの難しいところは、自分自身が入力ミスをする可能性を認識していないと実行できないという点です。「自分はミスなんかしない、大丈夫だ」と思っていると、それを確認するという発想が出てきません。
2点目は、これは社会全体で取り組まないといけない問題ですが、そろそろメール本文をデフォルト暗号化する仕組みに変えていくということです。電子メールはインターネット黎明期からその基本機能は変わっていません。オプションとして暗号化することもできるのですが、ほとんどの人はわざわざメールを暗号化して送信しませんし、暗号化されたメールを受信することもないと思います。
今回のような設定ミスに限らず、宛先を間違えてしまって情報漏洩するということがあります。なので、間違えた宛先に送ってしまっても、正しい宛先の人しか読めなければ情報漏洩になりません。暗号化の方式は、情報処理試験にもよく出ますが、公開鍵暗号方式でやる場合には、メールの送信者が受信者の公開鍵で暗号化して、メールの受信者が自分の秘密鍵で復号するという手順です。
原理的にはそれで情報漏洩は防げるのですが、これを手間をかけずにやるための仕組みがまだありません。しかし、コミュニケーションの手段としての電子メールをこれからも使い続けるのであれば、こういった仕組みを整備して、添付ファイルの暗号化を廃止していくように、社会に(あるいは世界に)浸透させていく必要があるのではないかと思います。
関連記事
プロマネの右腕
プロジェクトマネジメントの支援を行っています。
新サービスの企画を任されたけど どう進めていいか悩んでいる担当者、
部下に新しい企画を任せたけど このままで大丈夫か不安な管理職の方、
以下のサイトをご参照ください。
https://www.crossidea.co.jp/services/right-hand-pmo.html
YouTubeにて動画配信中!
プロジェクトマネジメントのノウハウをYouTubeで配信しています。
ブログと併せてご活用ください。