パスワードを忘れた? アカウント作成
105461 story
情報漏洩

初歩的ミスによるメールアドレス漏えい相次ぐ 66

ストーリー by hylom
次はどこがやらかすでしょうか 部門より

あるAnonymous Coward 曰く、

BCCに入れるべき同報メールをTOまたはCCに入れたり、ディレクトリを閲覧可能にしたまま重要情報が記載されたファイルを置くといったインターネット黎明期に頻発したような事例は、さすがに最近は聞くことがありませんでした。しかし、そんな間抜けミスは忘れた頃にやってくるものなのでしょうか。

6月に入って立て続けに著名企業の情報漏えいの事例が2件ニュースになりました。1つは同報送信先をTO欄に入力したミスにより4,464件のメールアドレスを漏洩させたKDDI、もう1つは
サーバーのアクセス制御ミスで92,000件を閲覧可能な状態にしていたダイエーです。

こうした初歩的ミスが発生した背景には、セキュリティに対するリテラシ不足の人間が担当していたか、業務の引継ぎマニュアルの注意事項に記載されていなかった等が考えられますが、重要な業務なのに、こういう雑な仕事になるのは両者の業績が低迷しているために適切な人材がアサインされていないからかもしれません。

そういえば、世界同時不況で内部犯行による情報漏洩リスクが高まっているという報告もありました。こういう状況だからこそ、情報セキュリティが経営に与えるインパクトを見直す必要があるのではないでしょうか?

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by elderwand (34630) on 2009年06月06日 9時08分 (#1581414) 日記

    > 同報送信先をTO欄に入力したミス

    メーリングリスト使ってる? [srad.jp] にも出てる(と思う)けど、最近のメーリングリスト管理システムは、いろいと痒いところに手が届くようになってるから、同報通知が必要になったらまずメーリングリストの設定をしてからにした方がいいと思うよ。

    システム管理者の仕事が増えるかもしれないけどね。

    • by Anonymous Coward on 2009年06月09日 1時17分 (#1582781)

      メーリングリストは「メールを受けて」「メールを配信する」システムなので、
      後者だけが必要なときにメーリングリストを使うのはナンセンスです。

      親コメント
    • by Anonymous Coward
      >システム管理者の仕事が増えるかもしれないけどね

      そして設定が甘かったりするのに気づかないで、うっかりReplyして全員にアドレスがばれちゃったりするんですよね
      • by elderwand (34630) on 2009年06月08日 16時02分 (#1582368) 日記

        アドレスがばれるのは、ひとりだから、全員のアドレスが全員にばれるよりはいいんじゃね?

        #システム管理者だけじゃなく、ばれちゃったひとりにも責任があるわけだし。

        親コメント
        • by Anonymous Coward on 2009年06月08日 16時28分 (#1582401)
          確か、そのPCに入っているドキュメント類をクロールしてメアドぶっこ抜いて送信しまくるウィルスがいたよね。
          おいらのアドレスも、どこかの馬鹿がそれにやられたせいで流出してる。

          で、その設定の甘いMLから送られてくるReply-To宛てにそんなのが送信されたら…
          親コメント
    • To欄複数や cc欄に入力できないメーラー作っても良いんじゃないか?そういう業務専用に。
      端金惜しんでオモチャのような汎用メーラーを流用してるからこういうことになるわけで。

      • by Anonymous Coward on 2009年06月08日 15時41分 (#1582349)
        業務用にそういったソフトはありますね。
        メーリングリストだと思わぬところからFromを詐称して迷い込んだメールが配信されてしまうことがあったりします。
        親コメント
      • by Anonymous Coward

        高速・大量配信できるMTAとセットで売ればよいのではないかと。

        • > 高速・大量配信できるMTAとセット

          分散処理なので、高速・大量送信 、、、 実はボット。
          から、来てるらしいメールがよく来るけど。

          MIME 処理があやしいというか、SpamAssassin すり抜けるようにわざとやってる臭い。

          あ、ボットでない(日本発/中国経由の)場合 MIME がダサダサで SpamAssassin によくひっかかる。

          親コメント
      • by Anonymous Coward

        そういう独自メールソフトって検証が甘いと、客にバケバケのメールを送ったりするんだよなぁ。
        まあ、汎用ソフトと比べると触る人間が圧倒的に少ないから、傾向的には仕方無いんだろうが。

        • いや、専用でなくともOutlookとかで化け化けメール送ってくる会社が何件か見かけますよ。
          親コメント
        • by Anonymous Coward
          > そういう独自メールソフトって検証が甘いと、客にバケバケのメールを送ったりするんだよなぁ。
          > まあ、汎用ソフトと比べると触る人間が圧倒的に少ないから、傾向的には仕方無いんだろうが。

          触る人間が圧倒的に多いはずのMS製品の立場は……
          • by Anonymous Coward on 2009年06月09日 9時31分 (#1582862)

            >触る人間が圧倒的に多いはずのMS製品の立場は……

            断言するが、自前で確認メールを送るショッピングサイトの確認メールの文字化け率は、明らかに悪名高きOutlook Expressを凌駕する。
            パッケージそのまま言語選択だけすれば良い様なのも何故かまともにならない不思議。

            親コメント
        • by Anonymous Coward
          メーラーもそうだけど、
          Cp943Cで利用者にメールを送りつけるWebアプリを作るような迷惑なJavaプログラマを現場で二度と使わないで欲しい…。
          「おまえ、Outlook Expressでしか確認してないだろう!?」と言いたくなった…
      • by Anonymous Coward
        もしくは横着せずに一人に一通ずつ、がんばってメールを送るかだな。
  • by Anonymous Coward on 2009年06月08日 15時26分 (#1582337)
    いくらでも予測できる操作ミスなんだから、ポリシーがどうだとか気をつけろとかじゃなく、
    こんなもん、MUAのUIで制限するなり警告すりゃいいだけの話なんだよね。

    メール周りってサーバーもクライアントもなんだかんだでいまだに泥臭くて全然洗練されてねぇと思う。
    #まずはSMTPを窓から投げ捨てたい
  • 世代の違い (スコア:2, 興味深い)

    by Anonymous Coward on 2009年06月08日 15時41分 (#1582348)

    インターネット黎明期に頻発したような事例は、さすがに最近は聞くことがありませんでした。しかし、そんな間抜けミスは忘れた頃にやってくるものなのでしょうか。

    タレコミ子の想定していた「インターネット黎明期」っていつくらいを指すのかに興味がある。

    • Re:世代の違い (スコア:2, おもしろおかしい)

      by Anonymous Coward on 2009年06月08日 15時51分 (#1582361)
      alt.binary.erotica.*に毎日入り浸ってた頃じゃなかろうか
      親コメント
    • by suzushiro (30819) on 2009年06月08日 16時28分 (#1582400)
      アメリカの大学にFAXでデータを送った所、打ち込むのが面倒臭いから
      アノニマスでFTPに上げといてくれ、と言って来た事があった > 1980年代

      今から考えるとマヌケと言うか、平和な時代だったと言うかw
      親コメント
      • Re:世代の違い (スコア:1, 参考になる)

        by Anonymous Coward on 2009年06月08日 17時47分 (#1582500)
        アップロード可能な anonymous FTP だと、in.coming に置かれたファイルはダウンロードできない(もしくはファイルリストがとれない)、なんて運用は普通だと思います。(今でもやってます)
        親コメント
    • by Anonymous Coward
      高城剛Xとかそのへんですか
      #当時エリカ8歳
  • 個人レベルだと (スコア:2, 参考になる)

    by Akami (4183) on 2009年06月09日 9時36分 (#1582864)

    普通にミスはあるからなぁ……(経験者です)

    だからといって、じゃあミスを犯すリスクを「どうやって」ヘッジするか、という疑問はあって。

    試しにWordの差し込み印刷機能を使ってメール打ってみたところ、Bcc: とCc: どころか、To: と本文の対応が崩壊状態になったメールが送られましたよ。
    これじゃ個人情報漏洩の最たるものです。自分のアドレスだけを使って試してみたので、致命的なトラブルにはなりませんでしたが。

    #Outlook使う限り大丈夫らしいんですが、当時はBecky!ユーザでした(苦笑

  • by Anonymous Coward on 2009年06月08日 15時51分 (#1582360)

    つい先日、勤務先で情報セキュリティ教育が行われたのですが、
    昨年までは「アドレス流出を防ぐためにBCCを使いましょう」といわれていたのが
    今年になって「BCCでもメールアドレスが流出する場合があるのでメーリングリストを使いましょう」
    と変わっていました。
    不勉強で申し訳ないのですが、BCCに設定したはずのメールアドレスが流出したという具体的な事例や
    そういう脆弱性を抱えたMTAについて、どなたか教えていただけないでしょうか?

    #ISO27001認証取得企業にいるのに上記のようなていたらくなのでAC

    • by Anonymous Coward on 2009年06月08日 16時42分 (#1582423)
      MUAがヘッダ生成時にBccヘッダ消し忘れたままだと相手までBccが付いたままになる可能性はあります。
      (逆を言えばMUAはわざわざBccだけ他のヘッダとは違う特例処理をしないといけないということ)

      それでも、最近のMTAはBccが付いてしまっていたとしても「気を利かせて」Bccヘッダを削る事になってます。
      しかし、昔のサーバーはそのまま流してました。
      つまり、元コメが言うところの「そういう脆弱性を抱えたMTA」というのは存在するようなしないようなって事です、
      送られてきたんならそのまま流すのが当たり前だったんですから。

      さらに言えばここでまた誤解が産まれる事がありまして、
      「気の利く」MTAでテストしながらMUAを製作しているよくわかってないプログラマがいたりすると、
      そのMUAは『送り側も受け側も中継サーバーもすべて「そのまま」のMTAだった場合』に限りBccを流出する。
      という難解な状態に陥ってしまいます。

      #ぶっちゃけ、みんなSMTPが悪い
      親コメント
    • by nemui4 (20313) on 2009年06月08日 16時19分 (#1582389) 日記

      >つい先日、勤務先で情報セキュリティ教育が行われたのですが、
      >昨年までは「アドレス流出を防ぐためにBCCを使いましょう」といわれていたのが
      >今年になって「BCCでもメールアドレスが流出する場合があるのでメーリングリストを使いましょう」
      >と変わっていました。

      できればそう言う事に気がついた時点で管理部門にその意図やポリシーの変更について確認する癖をつけておいたほうが良いよ。
      たぶんココでそれを聞いて回っても憶測でしか誰も答えられないし、セキュリティーポリシーが従業員全員に徹底できていなかったらマズイことになるかもしれないから。
      きちんとそれについてアナウンスがなされていたけれども、従業員の一部もしくは大勢がそのことに気がついていないと言う事もあるし。

      #ちょっとイラっとしてしまいました m(_ _)m

      親コメント
    • by Anonymous Coward on 2009年06月08日 16時27分 (#1582399)

      Outlook Express 6は既出なようなので、他のネタ。
      Windows Live メールのバグ [cocolog-nifty.com]ってのもあるようです。

      "bcc メール バグ"で検索してみては?
      MTAだけじゃなく、MUAのバグでも発生するので、MTA限定で考える必要はないかと…

      親コメント
    • Re:BCCはどこまで危険? (スコア:1, おもしろおかしい)

      by Anonymous Coward on 2009年06月08日 17時36分 (#1582490)

      うちの職場は、全てBCCで送ることになっています。宛先を記入してはいけません。
      宛先を書かなければならないソフトの場合には、自分のメールアドレスを書くことになっています。

      ・・・しばらくして、そういうことを言い出した関係部署から、誰に送ったのか本文に書かれたメールが送られてきた。

      親コメント
      • by Anonymous Coward

        >・・・しばらくして、そういうことを言い出した関係部署から、誰に送ったのか本文に書かれたメールが送られてきた。

        そうなんですよね。
        結局誰に送ったのかわからなくなる為
        BCCはほぼ全員宛専用、
        メーリングリストは登録ユーザをexcelで管理して
        共有に置いたり・・

    • by saitoh (10803) on 2009年06月10日 12時21分 (#1583807)
      > BCCに設定したはずのメールアドレスが流出したという具体的な事例

      本文が

      Bcc: ほげほげ
      Bcc: ほげほげ
      Bcc: ほげほげ
      Bcc: ほげほげ

      広告文

      というメールを受け取ったことは何回かあります。ヘッダを全部表示させるなどして推察したところによると、

      ・Subject: が長すぎるなどの問題がある
      ・MTAか、元メールにBcc:をつけてMTAに渡すソフトかどちらかに欠陥がある
      ・Subject: が複数行に分割される際に、空行が挿入される
      ・空行は、ヘッダと本文の境界・・

      こういうことではないかと。

      親コメント
    • by Anonymous Coward

      MTAのは聞いた事が無いけれど、Outlook Expressのバグ [microsoft.com]で漏れる事はあったよ
      BCCを使う習慣がついてしまうと、クリックミスでCCになった時に大惨事になるし
      使わないという教育もアリかとは思う

  • by Anonymous Coward on 2009年06月08日 22時34分 (#1582685)

    BCCに入れるべき同報メールをTOまたはCCに入れたり、ディレクトリを閲覧可能にしたまま重要情報が記載されたファイルを置くといったインターネット黎明期に頻発したような事例は、さすがに最近は聞くことがありませんでした。

    あなたはそうなんでしょうが、、、大学で教育している身からすると、「BCCにするとアドレス見えないんだよ」「へ〜知らなかった」ってのは、食堂あたりでの学生の会話からよく聞く話です。

    • by nemui4 (20313) on 2009年06月09日 9時40分 (#1582865) 日記

      >「BCCにするとアドレス見えないんだよ」「へ〜知らなかった」

      社会人ですが、初めてEudraを使ったとき全く同じ会話をしてました。
      たしか1990年代前半。

      10年くらい前には父親と似たような会話をした記憶もあります。

      たぶんBCCってそんなに一般的じゃないと思う、普段使わないしメーラのUIもソコニ関しては使いやすさとか知らなくてもその意味が分かるようにもなってないし。

      親コメント
  • by Anonymous Coward on 2009年06月08日 16時14分 (#1582383)
    こんなこと [archive.org]がありました。
    いまだにサーバの設定が出来ない業者に発注しているのかな。
  • by Anonymous Coward on 2009年06月08日 16時33分 (#1582408)

    >ディレクトリを閲覧可能にしたまま重要情報が記載されたファイルを置く

    ACCS不正アクセス事件での、ミイラ取りがミイラになった事例が忘れられません。

    誰でも見れる場所に不用意に個人情報が置いてあるという事を指摘しようとした者が、
    やっぱり誰でも見れる場所にそのデータをコピーして、二次流出をさせたという…

  • by Anonymous Coward on 2009年06月09日 0時03分 (#1582747)
    ネットで知り合った人が携帯でメール送ってきてヘッダで本名バレとかたまにありますね。 警戒して携帯買った時にふざけた名前登録して、リア友に送った時に恥かいた事もありますが。
typodupeerror

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

読み込み中...