知って得するセキュリティのはなし その139
デジタル庁よりメールアドレス400件流出…報道機関向けメールでアドレスをCc: に記載
1.このニュースをざっくり言うと
- 11月24日、デジタル庁より、メール送信時にミスがあり、メールアドレスが他者に流出する事象が発生していたと発表されました。
- 同庁から報道機関向けにプレスリリースを送信した際、報道各社の担当者のメールアドレス約400件を、送信されたメールには表示されない「Bcc: 」ではなく「Cc: 」に記載したことにより、メール受信者がこれらのメールアドレスを読み取ることが可能な状態となっていたとのことです。
- 同庁では誤送信したメールの破棄を報道各社に求めており、「今後は厳重に注意し、再発防止に努める」とコメントしているとのことです。
2.執筆者からの所感等
- 400件という大量のメールアドレスをメーラーに手動で入力するという方法は、潜在的にミスが発生するリスク、そしてミスが発生した場合の被害も大きいものとなりますし、一方で複数回に分割するやり方でもまた同様で、ミスの発生率はさらに上がる恐れがあります。
- デジタル化推進を担うべく鳴り物入りで始まったばかりのデジタル庁が、今日においてプレスリリースの発信手段についてもより安全で先進的なシステム等がある中、古典的なEメールによる送信を用いたことや、ミスが発生した原因およびそれへの対策等、ネット上では様々な点に対し疑問を呈する声が挙がっています。
- 安全な同報メール送信のためには、メーリングリストやメール配信サービス等の利用、また可能であれば多数のアドレスが記載された長大なTo: やCc: ヘッダーを含むメールを許可せずUTM等で遮断・警告を返すような仕組みの採用、あるいはどうしてもメーラーで対応せざるを得ない場合は、メーラー自身やアドオンで誤送信防止機能が提供されていればそれを利用する等、人間側の注意のみに依存しない各種システムの導入によって解決されるべきでしょう。
