プロジェクトオーガナイザの吉田聖書です。
先月のニュースですが、2月9日に鹿児島大学が公式サイトに「重要なお知らせ」を掲載しまして、メールアドレスの登録ミスによって、個人情報829人分が漏洩した可能性があると発表しました。
このニュース、テレビや新聞などの大手マスメディアではほとんど取り上げていないようでして、セキュリティのニュースとしては扱いが小さいのが少々気になっています。他のニュースを優先して取り上げていたら、その間に鹿児島大学もこのお知らせの掲載を下げてしまいました。ですので、申し訳ないですが、今回はお知らせへのリンクを貼ることができません。ご容赦ください。代わりと言っては何ですが、南日本新聞のニュース記事へリンクしておきます。
メーリングリストで「gmail」を「gmai」と教職員が誤登録 829人分の個人情報流出 鹿児島大(2023/02/11 南日本新聞)
この記事によると、鹿児島大学の教職員がメーリングリスト(ML)に登録するメールアドレスを間違えたということですが、具体的には「gmail.com」のところを「gmai.com」にしてしまったというミスです。これによって2020/6/26から2022/11/24までの約2年半にわたって702通のメールを誤送信し、829名の個人情報が流出したということです。
で、似たような話をこのブログでも取り上げていました。その時は、埼玉大学の教員が学内のメールアドレスから外部に転送設定していたのですが、その転送先のメールアドレスに同様の入力ミスがあり、2021/5/6から2022/3/3までの約10か月にわたって4890件のメールを誤送信し、2,000名前後の個人情報が流出したということでした。去年の11月の話です。
実は同様のニュースはもっと遡ることができまして、2021年の11月には新潟県の職員が同じように転送設定の入力ミスで個人情報が漏洩(この時は1件漏洩した時点で気付いた)し、同じく2021年の3月には京都市立芸術大学で入学予定者135名のリストを宛先の入力ミスによって漏洩したという事故があったということです。
メール誤送信による入学予定者等の個人情報流出について(2021/03/31 京都市立芸術大学)
※ この記事は、先日公開した以下の音声コンテンツを基に編集したものです。
昨年書いたブログの中でも触れていますが、こういった事故を防ぐ方法として、メールの転送設定をしたら必ずテスト送信をして正しく転送されていることを確認することは必須です。また、MLを立ち上げたりメンバーを追加した場合にはやはりテスト送信を行って、全員に必ず返信をしてもらうことが必須です。メール転送やMLに絡む事故はこれで防げます。
ところが、最後の京都芸大の例のように、メールクライアントで宛先の入力ミスについては出来る対策があまりありません。もし外部のメールサービスを使っている場合、送信先アドレスをブラックリストと突合し、マッチしたら送信を遮断するような機能があれば、ドッペルゲンガードメインをそこに登録することで対策はできます。そういう機能が備わっていればです。
ただ、大学の場合は自前でメールサーバを運用しているケースもあるでしょう。これは試したことは無いのですが、メールサーバ内のhostsファイルを書き換えれば、ドッペルゲンガードメインを潰せるのではないかと考えられます。仮に潰せれば、宛先をミスしても誤送信されることが無いので、情報も漏洩することはありません。
関連記事
プロマネの右腕
プロジェクトマネジメントの支援を行っています。
新サービスの企画を任されたけど どう進めていいか悩んでいる担当者、
部下に新しい企画を任せたけど このままで大丈夫か不安な管理職の方、
以下のサイトをご参照ください。
https://www.crossidea.co.jp/services/right-hand-pmo.html
YouTubeにて動画配信中!
プロジェクトマネジメントのノウハウをYouTubeで配信しています。
ブログと併せてご活用ください。