事故から学ぶ

セキュリティニュース誤送信でメールアドレス400件が流出、沖縄タイムス

事故概要

業種 新聞社
発生時期 2018/12/16
漏えい人数 400人
事故概要

沖縄タイムスは2018/12/16、同社が提供するサービス「沖縄タイムスプラス」の購読者プランの利用者に向けてメールを配信する際に、設定を誤りメールアドレス400件が流出したと明らかにしました。
同社によると、メールは決済システムの不具合に関する連絡のため、プラン利用者らに向けて送信。ところが担当者が不注意を起こし、本来「Bcc」設定でとすべきところを誤って「To」設定で送信したとしています。
沖縄タイムスによると、メールアドレスの流出は2018/12/13に発生。沖縄タイムスプラスの購読者プラン利用者らの口座自動振替システムに不具合が生じたため連絡メールを400件単位で一斉送信する際に、担当者がミスを起こし受信者のアドレスが共有される「To」設定で連絡したとしています。
メールアドレスの流出はその後、受信者からの通報により発覚。沖縄タイムスは謝罪を表明するとともに、今後同報者のアドレスが表示されない配信システムを利用する方針です。

引用元 サイバーセキュリティ.com 2018/12/21

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
2-7 パソコン利用教育

チェックリストにある要求ルール:

電子メールを送る前に目視にて送信アドレスを確認するなどのように、宛先の送信ミスを防ぐ仕組みを徹底していますか?
複数の相手先への送信時はTOではなくBCCを使用していますか?

■ 推奨対策

対策:

「ついうっかりToに複数の相手先を入力した」という説明がよくなされるが、そもそもToで送ってはいけない、という意識が醸成されていない中で発生する事故である」
このミスは各所で発生しており、よく知られた漏えい事故であるにも関わらず、対策が「気をつけましょう」という注意喚起で終わってしまい、事故防止に結びつかない典型例でもある。

具体例:

これを防ぐには入力者と送信者による2重チェックを行う誤送信防止チェックが必要である。
メール配信業務を請け負う企業では、相手先欄にあるアドレスと送信予定名簿の突合(不要者の混入防止、アドレス間違いの確認)、To欄の使用禁止と点検者による確認、To欄が空欄であることの証跡コピー(キャプチャ)取得を義務付け、送信ミス防止を徹底させている。送信相手先名簿は事前に別に作成しており相手先チェックも事前に確認する仕組みにしていることから、メール送信時の2重確認は数分で終わっている。複数相手先に送信する業務がある企業では確認自体を手順に組み込むことをお勧めする。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。