企業や団体にとって、情報漏洩は、社会的な信用の低下、法律や規制への違反、顧客や売上の減少など重大なリスクを含んでいます。しかし、個人情報漏洩の事件・事故は増加傾向です。個人情報漏洩の事故原因のトップは、メールによる情報漏洩でした。また、Emotet(エモテット)などのマルウェア感染による情報漏洩も発生しています。この記事では、メールによる情報漏洩の原因と必要な対策について解説します。
個人情報漏洩の事故原因のトップはメール誤送信
個人情報漏洩事件・事故の24.5%がメール誤送信
Security NEXTによると、2023年1月から2023年10月5日までの「個人情報漏洩事件・事故関連記事」482件の事故原因は「メール誤送信」が118件(24.5 %)でトップでした。
2023年9月28日から10月4日までに掲載されたメール誤送信の記事
- 生徒成績情報を第三者へ誤送信、ルール違反と誤入力で - 仙台市
- 求職者の個人情報含むファイルを営業DMに誤添付 - 人材派遣会社
- 再委託先でメール誤送信、イベント参加者のメアド流出 - 香川県
- 県立高でのメール誤送信、Outlookの「取消機能」で再発 - 三重県
- 企業の健診結果を別企業へメールで誤送信 - 日大病院
上場企業の事故原因はサイバー攻撃・マルウェア感染と誤送信
信用調査会社の東京商工リサーチが2023年1月19日に発表した、2022年「上場企業の個人情報漏えい・紛失事故」調査によると、上場企業の情報漏洩事件・事故は前年比1.2倍と過去最多でした。
原因別では、ウイルス感染・不正アクセスが5割超え
情報漏洩・紛失事故の原因別では、不正アクセスやウイルス感染などのサイバー攻撃が91件(55.1%)と最多となっており、誤表示・誤送信が43件(25.0%)でした。
ウイルス感染では、2022年初旬のマルウェア「Emotet」があります。PCのメールの連絡先から窃取した情報を利用したなりすましメールの送信事例も相次いでいます。
メール誤送信の原因は宛名入力ミスとファイルの添付ミス
宛名の自動補完機能(オートコンプリート)による誤入力
Outlookなどのメールアプリには、宛先、CC、BCCの各フィールドに入力を開始すると、入力内容に基づいて候補が表示される「オートコンプリート」機能があります。メールの宛名の入力を効率化できる便利な機能ですが、同姓の宛名が複数表示されることがあります。複数の候補先から意図した送信先のメールアドレスを 選択しないと、メールの宛名ミスによる誤送信に繋がります。
ファイルの添付ミスによる誤送信
ファイルの添付ミスは、ファイル名や保存場所が似ている場合、誤って別のファイルを選択してしまうことや、ファイル名が類似しており誤って選択すること。締切や期限が迫っている場合に焦って作業することによる不注意などが考えられます。
メールでの情報漏洩対策に求められる5つの機能要件
メールでの情報漏洩を防ぐには、属人的な対策では限界があります。メールセキュリティ対策サービスの情報漏洩防止や誤送信防止の複数の機能を組み合わせた対策が有効です。
1. 上長承認/自己承認
メールを送信する前に、上長または自身が承認画面にてメール内容の再確認をすることで、誤送信を未然に防ぐための機能です。承認保留中のメールは送信取り消しも可能です。
2. メール送信の一時保留
メールを送信した後に、ミスに気づくケースが多く報告されています。そのためメールアプリで送信した後に、メールの送信を一定時間保留することで誤送信を未然に防ぐことが必要です。保留中のメールは送信を更新した後に改めて送信します。
3. 多数に送るメールのBCC強制変換
メール送信で、宛先またはCCに指定された件数以上のメールアドレスが含まれる場合に、自動的にすべての宛先をBCCに変換して送信する機能を活用します。宛先メールアドレス(個人情報)の漏えいを防止します。
4. 添付ファイル分離配送
メールに添付して送信されたファイルがクラウド上のストレージに自動的に保管され、ファイルのダウンロードURLが受信者に送られる機能です。ファイルをダウンロードするためのパスワードは、別メールで受信者に自動的に送るか、送信者が確認した後に送ることもできます。
5. 送信メールの監視による情報漏洩の防止
送信されたメールや添付ファイルに電話番号、住所、マイナンバーなどの個人情報が含まれていないか、メールの件名や本文に機密情報や不適切な文言がふくまれていないかを自動的にチェックします。ポリシーやルールに違反するメールを検知した場合には、自動的に送信を停止し、送信者や管理者に通知をメールで知らせることが可能です。これにより、自己承認、上長承認をすり抜けてしまったメールでも外部への送信を防ぐことができます。
コンプライアンス・訴訟対応にはメールアーカイブ
全てのメールをメールサーバーとは別の場所に保管するメールアーカイブを併用することで、事件や事故が発生した時の事実関係の調査や確認をに対応します。メールアーカイブの製品・サービスには、組織の情報セキュリティポリシーや要件に沿ってメールを監視できる機能が含まれています。メールの情報漏洩対策では、誤送信防止とメールアーカイブの組み合わせを導入することで対策を強化できます。
関連記事:すべてのメールを保管するメールアーカイブの導入目的と製品の選び方
標的型攻撃による情報漏洩への対策
標的型攻撃メールによる情報漏洩
近年、特定の個人や組織を対象とした、実際にやり取りされていた関係者からのメールを装った巧妙なメッセージが増加しています。
これらのメッセージには、メールの本文に記載されたURLやZIP暗号化ファイルが含まれ、クリックやファイルを解凍することでウイルスやマルウェアに感染させ、機密情報や顧客の個人情報、知的財産、IDやパスワードなどのユーザー情報を窃取しようとする標的型攻撃の被害が拡大しています。
ZIPファイル経由で侵入するマルウェア
2万社以上にメールセキュリティサービスを提供しているサイバーソリューションズが、5400万通のメールを分析したその結果、毎年一定の割合で、ZIPファイルにマルウェアが潜んでいることが判明しました。
ZIPファイルを暗号化していると、メールセキュリティ対策ではマルウェアを検知できないため、受信者のPCでZIPファイルを解凍したタイミングでウイルスやマルウェアに感染するリスクがあります。
マルウェア「Emotet」が流行した2020年は、日本の企業がパスワード付きZIPファイル経由でのマルウェア感染の標的にされました。
危険なメールや脅威を除去したメールを受信する対策
メールセキュリティの受信対策は、危険が潜むメールを受信しない、または脅威が除去された状態でメールを受信できるようにします。この対策には、次のような手段を複合的に実施します。
関連記事:標的型攻撃メールを防御!失敗しないメールセキュリティ対策の選び方
月額300円から導入できる、メール情報漏洩対策サービス
Microsoft 365、Google Workspace に対応したオールインワンのメールセキュリティサービス。脅威防御・標的型攻撃対策、誤送信・個人情報漏洩対策、メールアーカイブをワンストップで提供しています。メール情報漏洩対策を実現できる「送信対策プラン」は、月額300円。「送信対策」と「メールアーカイブ」がセットになった「ビジネスプラン」は、月額350円とリーズナブルにメールによる情報漏洩対策を導入できます。7,000アカウントのMicrosoft 365メールセキュリティ 事例、Microsoft 365 で脱PPAPされた事例などがあります。
Cloud Mail SECURITYSUITEの詳細を確認する