メール誤送信による個人情報流出相次ぐ…ファイル添付・アドレス入力のミス重なるケースも

セキュリティニュース
ここで紹介するニュースは、ほとんどの場合下記の方法で対策できます。
〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う

– 4/24号 目次 –

01. メール誤送信による個人情報流出相次ぐ…ファイル添付・アドレス入力のミス重なるケースも


02. 管理コードに学年と出席番号使用…生徒用タブレットに卒業生の成績が表示


03. ゴールデンウィークにおけるセキュリティ面の注意喚起、IPA・LACより発表

メール誤送信による個人情報流出相次ぐ…ファイル添付・アドレス入力のミス重なるケースも

– 4月19日(日本時間)、大塚商会より、同社顧客の個人情報がメールの誤送信により外部に流出したと発表されました。

– 対象となるのは、同社サービス「たよれーる」および複合機保守サービスに個人名義で登録している顧客2,687人分の氏名とのことです(住所・電話番号・メールアドレスおよび取引内容は含まれないとのことです)。

– 同17日には同様の事案として、東映太秦映画村より、イベント参加応募者1,223名分の氏名・メールアドレス等が掲載されたリストを誤って当選者の一部に送信したことが発表されています。

[ 出典 ]
https://www.itmedia.co.jp/news/articles/2404/22/news138.html
https://www.otsuka-shokai.co.jp/news/customer/2024/240419.html
https://www.itmedia.co.jp/news/articles/2404/19/news141.html

AUS便りからの所感 AUS便りからの所感

大塚商会の事案では、2月14日に業務上必要なファイルをメール送信した際、当該ファイルに個人情報が含まれていたこと、かつ送信先メールアドレスを誤入力していたことの2つの問題が重なったとしています。

東映太秦映画村の事案も、当選者71名へのメール送信の過程で、うち2名への送信時にリストが誤って添付されるミスが発生したとのことです。

今回のように誤ってファイルを添付したケース、誤入力されたメールアドレスへ送信するケース、他にもメール送信時の個人情報流出事案として度々報告される、メールアドレスを「Cc: 」に列挙してしまうケースを回避するため、大量メール発信システムの構築やサービスの契約、あるいはメーラーで警告を出すアドオンの検討を強く推奨致します。

管理コードに学年と出席番号使用…生徒用タブレットに卒業生の成績が表示

– 4月9日(日本時間)、複数のメディアより、大分市の大分舞鶴高校で生徒に貸与したタブレット端末に他の生徒の成績が表示されるトラブルがあったと報じられました。

– 同校および大分県教育委員会の発表によれば、同5日に同校3人の生徒から、端末で自分の成績を見ようとしたところ、3月に卒業した別の生徒の成績が表示されたとの報告があったとしています。

[ 出典 ]
https://www.yomiuri.co.jp/kyoiku/kyoiku/news/20240409-OYT1T50177/
https://www3.nhk.or.jp/lnews/oita/20240409/5070018231.html

AUS便りからの所感 AUS便りからの所感

生徒のテストの成績を管理するシステムにおいて、管理コードとして生徒の学年と出席番号を使用していたため、卒業生に対する管理コードがそのまま下級生に割り当てられたのが原因とされています。

学籍番号等、個々の生徒に一意に割り当てられる番号が別途存在しているはずであり、これを管理コードとすべきだったと言えます。

ゴールデンウィークにおけるセキュリティ面の注意喚起、IPA・LACより発表

– 4月22日(日本時間)、IPAより、「2024年度 ゴールデンウイークにおける情報セキュリティに関する注意喚起」が発表されました。

– GW等長期休暇の時期、企業・組織によっては、「システム管理者が長期間不在になる」「友人や家族と旅行に出かける」等、いつもとは違う状況になり、ウイルス感染・不正アクセス等の被害発生時の対処が遅れる、あるいはSNSへの書き込み内容から思わぬ被害が発生する等の可能性があることを鑑み、「企業や組織の管理者」「企業や組織の利用者」「個人の利用者」それぞれを対象に、「休暇前」「休暇中」「休暇明け」に行うべき基本的な対策と心得が「長期休暇における情報セキュリティ対策」においてまとめられています。

– 同日には、LACからも「GW目前!大型連休に向けて注意したいセキュリティリスク」と題した記事が発表されています。

[ 出典 ]
https://www.ipa.go.jp/security/anshin/heads-up/alert20240422.html
https://www.lac.co.jp/lacwatch/media/20240422_003822.html

AUS便りからの所感 AUS便りからの所感

IPAの発表は基本的に2023年~2024年の年末年始の時などと大きく異なるようなものではありませんが、「企業や組織の方々へ」と題し、「インターネットに接続された機器・装置類の脆弱性を悪用するネットワーク貫通型攻撃」が相次いでいるとして注意喚起しています。

GWまでに日にちがなく十分な対応が間に合わなかったとしても、GW明け以降に点検すべきことは多く存在しますし、以後も夏季休暇等に備えて対応しておくべき事柄も変わらず、また長期休暇に関係なく常時から注意すべき普遍的なものも「日常的に実施すべき情報セキュリティ対策(https://www.ipa.go.jp/security/anshin/measures/everyday.html )」として別途まとまっており、それぞれにおいて準備・点検を行うよう意識していくことが肝要です。