TOP情報セキュリティ> To:、Cc:に多数のアドレスを入力してしまう事故例と対策例
メールコンプライアンスの実現
メールコンプライアンスの実現に向けて

第2回:メール事故の傾向と、今取りうる対策

著者:ホライズン・デジタル・エンタープライズ  宮本 和明
2006/9/11
1   2  3  次のページ
To:、Cc:に多数のアドレスを入力してしまう事故例と対策例

   個人情報保護法が施行されて1年半が経過しようとしていますが、いまだに情報漏洩事故はとまっていません。メールからの情報漏洩事故も増えています。

   "情報漏洩"やお詫び"といったキーワードでGoogleをたどると多くのお詫び文を見つけることができます。それらの中には比較的最近のものも散見されます。
事故例1-1

   先月(2006年8月)30日には、東京都現代美術館が258名のアドレスを漏洩しています。以下がそのお詫び文からの抜粋です。

1 発生日時
平成18年8月30日(水) 午前10時48分

2 発生場所
東京と現代美術館内(東京都江東区三好4丁目1番1号)

3 事故内容
教育普及メールニュース配信登録者にメールニュース第3号(8月30日付)を配信する際、メールアドレスをbccに入れるべきところ、宛先に入れてしまったため、配信登録者全員(258名)のアドレスを表示させて送信してしまった。

「東京都現代美術館におけるメール配信登録者情報の流出について」東京現代美術館(2006/09/01記録)
http://www.mot-art-museum.jp/page/486_1_1.pdf

   「事故内容」には「bccに入れるべきところ、宛先に入れてしまったため」とありますので、To:欄にたくさんのアドレスが並んだ状態で全員にメールが届いて、漏洩したというものです。


事故例1-2

   またその約1週間前には、NTT西日本岐阜支店が340名のアドレスを漏洩しています。そのお詫び文からの抜粋は以下の通りです。

1.誤送信の内容
平成18年8月21日(月)10時16分、NTT西日本岐阜支店から情報を希望されるお客様に対して毎月電子メールにてお送りしている「イオclub ニュース」の8月分を送信した際、送信先である340件分のメールアドレスが表示される状態でメッセージを送信してしまったものです。

「メールアドレスの誤送信に関するお詫びとお知らせ」NTT西日本岐阜支店
(2006/09/01記録)
http://www.ntt-west.co.jp/gifu/news/pdf/release060821-99.pdf

   これも、「メールアドレスが表示される状態でメッセージを送信してしまった」とのことなので、おそらくTo:またはCc:に入れてしまったことが予想できます。


対策例1

   事故例1-1と事故例1-2は、「メールアドレス」のみの流出となっているようです。

   こういった事故はどのようにすれば防止できるのでしょうか。読者の皆さんが自分が普段どのようなメールを送っているかを想像してみてください。To:欄やCc:欄に何10個もアドレスを入れてメールを送信することはあるでしょうか。

   つまり、「To:」や「Cc:」に多量のメールアドレスを含むようなメールがあれば、それは怪しいとみなせば良いわけです。

   HDE Mail Filterの設定例をあげると図1のようになります。

大量のメール送信の防止例
図1:大量のメール送信の防止例
(画像をクリックすると別ウィンドウに拡大図を表示します)

   設定内容例としましては、以下の通りです。

通知
管理者に通知
アクション
削除
ルール条件
以下のどちらかに一致

1つ目
  • 検索対象:受信者(To:)
  • 検索文字列:@
  • 条件:一致する
  • 頻度:20回以上

2つ目
  • 検索対象:Cc:
  • 検索文字列:@
  • 条件:一致する
  • 頻度:20回以上

表1:大量のメール送信の防止の設定

   この条件であれば、問題メールがくると、メール自体を削除して管理者に通知が行われます。

1   2  3  次のページ

本記事で、事故例として引用したものはいずれも各社のホームページ上に2006年9月1日時点で記載されていたものです。各社とも今後漏洩をしないための対策についても、同じホームページ上に発表されております。
株式会社ホライズン・デジタル・エンタープライズ 宮本 和明
著者プロフィール
株式会社ホライズン・デジタル・エンタープライズ  宮本 和明
代表取締役副社長。1997年からLinuxに関するビジネスに取り組み、サーバ管理ソフトウェアHDE Controller、電子メールエンジンHDE Customers Careなどのパッケージソフトウェアの開発に携わる。金融・流通・自治体など様々な業種の電子メール関連システムにも携わり、今後のメールシステムの行く末を見守り続けている。


INDEX
第2回:メール事故の傾向と、今取りうる対策
To:、Cc:に多数のアドレスを入力してしまう事故例と対策例
  住所データを添付したメールで流出した事故例と対策例
  その他の想定事故例と対策例