パスワードを忘れた? アカウント作成
17399461 story
情報漏洩

Microsoft Outlookの「メッセージの取り消し機能」を誤使用しメールアドレスが再流出 56

ストーリー by nagazou
再再発防止 部門より
三重県の9月27日の発表によると、三重県立高校でメールを誤送信する問題が再発したという。最初の問題は、同校が9月19日に高校生活入門講座に参加登録した中学生421人に対してアンケートメールを送信。その際、BCCに記載するべきアドレスを宛先部分に誤って記載したことから、メールアドレスが漏洩。同校はこの問題を公表、謝罪していた。ところが同月26日に再び誤送信が発生しまったという(三重県リリースSecurity NEXT)。

2回目の誤送信の原因は、学校の教頭が「Microsoft Outlook」の「メッセージの取り消し機能」を誤って利用していたことにある。この機能は、同一ドメイン内で同じ「Microsoft Exchange」環境を使用している場合、一部の条件下でメールを削除できるものだが、外部宛のメールには適用されない。この際、19日付メールの送信先全員に「このメールを取り消します」という内容が自動的に送信される仕組みが発動したことで、再びメールアドレスが漏洩した。学校側は対象者に謝罪し、誤送信したメールの削除を依頼しているという。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • やっとわかった (スコア:4, 参考になる)

    by asano_nagi (37547) on 2023年10月03日 15時56分 (#4539422) ホームページ
    やっとわかった、というか、「おなじ」誤送信ではない気がするな。

    ・9/16 にTOに421人のメールアドレス書いて送信
    ・謝罪
    ・9/26に、教頭が「おお、この、9/16のメールなんとかせねば。そういえば、OUTLOOKには、送信メールの取り消しがある」
    ・送信メールの取り消し実行
    ・が、外部のメールは取り消し不可。9/16と同じヘッダで、「このメールは取り消されました」と一斉送信。
    ・というわけで、TOに421人のメールアドレスを書いたメールが送信。

    まあ、「仕組みを弁えず」ではあるけど、これは、ITパスポートレベルでは回避できない気がする。
    実際やってみたら、「インボックスにあって、読まれてなければ削除される」というメッセージは出るけど、新たに「取り消されました」メールが行くとまでは読めないし。
    --
    ¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
    • by Anonymous Coward

      この件で教頭を責めるのは、ちょっと可哀想な気がする。
      こんな仕様、知らなかったら気を付けようもないのでは。

      後出しで指摘するなら、一度ミスった後なんだから自分で判断して対処せずに、
      事後の全ての操作を専門家に任せるべきだったとは思うけど。

    • by Anonymous Coward

      MOSなら…回避できた…?

  • 教員免許の条件にITパスポートでも課せば?
    なんもせんでも受験者増えてIPAもニコニコ。
    現役教員で持ってない人はPC使用禁止で全部手書き。

    • by Anonymous Coward

      ITパスポートはOutlookの使い方まで審査してんのか。
      そう思って見に行ってみたら案の定・・・
      https://www3.jitec.ipa.go.jp/JitesCbt/index.html [ipa.go.jp]
      久しぶりに文字化けという現象を見た。(Firefox)
      この資格持ってても、今回の事件が回避できるとは思えなかったけど。

      > 「このメールを取り消します」という内容が自動的に送信される仕組みが発動
      OutlookはどんなUIしてんの?
      この機能要る?日本語での説明もちゃんと出来てんのかな?
      初見殺しのこんな機能、ボタン押すだけで実現してるなら、回避不能だわ。
      確認ダイアログ10連ぐらいで、はいはい押させないと。
      5回目くらいで

      • by Anonymous Coward on 2023年10月03日 21時40分 (#4539708)

        送信済みメールを取り消す、または置き換える [microsoft.com]

        お客様と受信者が全員、Microsoft Exchange または Microsoft 365 を使用しており、同じ組織内にいる場合は、送信したメール メッセージを取り消したり、置き換えたりすることができます。

        重要: アカウントが MAPI または POP アカウントの場合、取り消すことはできません。

        親コメント
      • by Anonymous Coward

        取り消し用の(ヘッダの付いた)メールを送信することで、Outlook が対象のメールと取消メールを削除する動き。
        Outlookを利用していないユーザからすれば、ただ2通メールが送付される意味のないものだし、Outlook でもしばしば取消に失敗する。過去の遺物。

        重要度や開封確認などを含めて独自実装は、いい加減廃止するべき。

    • by Anonymous Coward

      免許取得時だけでは不十分。
      そもそも教員だけの問題でもない。
      公務員全員に対して、継続して教育を行う仕組みが必要。

  • 雇ったほうが良いんじゃないか?
    予算的に・・・と言うなら一人で数校掛け持ちしてもらうとか。(流出の懸念があるから難しいか)
    何でもかんでも教員がやる(やらせる)のは終わりにしても良いと思うけど。

    • 1インシデント幾らか、年間契約で外注しても良さそうな
      発注先はデジタル庁で監督、予算は文科省

      親コメント
      • by Anonymous Coward

        1インシデント幾らか、年間契約で外注しても良さそうな
        発注先はデジタル庁で監督、予算は文科省

        最低必要インシデント数の項目が出てきそうですな

    • by Anonymous Coward

      非常勤講師ですよ。週2日くらい
      メールを送れる日が限られますね。

      • by Anonymous Coward

        学校個々に配置する必要ないだろ。
        フルリモートでも十分。

    • by Anonymous Coward

      事務員に「先生」を上回る強力な権限を持たせてくれるならいいけど、そんなことができるとも思えず。

      • by Anonymous Coward

        教職員より権限のある事務員、なんて文科省の一般職の天下り先にするんなら組織も含めすぐさま出来そうだけどな。

        • by Anonymous Coward

          学校なんかの天下りに喜んで飛びつく奴が、変態以外に居るとは思えない。

  • by Anonymous Coward on 2023年10月03日 15時30分 (#4539398)

    > BCCに記載するべきアドレス

    べきじゃない。
    個別にToに記載して送れ。

    • >個別にToに記載して送れ。

      メアドリスト与えたら個別にtoに入れて、テンプレファイルをメール送信する学校向けアプリ無いんかな

      たぶん教頭か誰かもスクリプトとか組まなさそうだし

      親コメント
    • by Anonymous Coward

      > BCCに記載するべきアドレス

      べきじゃない。
      個別にToに記載して送れ。

      それ以前に頭文字を暗号としか認識できない状態だから
      「公開宛先(To)」と「公開同送宛先(CC)」と「秘匿宛先(BCC)」として
      色と絵のわかりやすいアイコンにしないと無理じゃないかな

      # Toはやばげな血色で晒首にしておくとか

      • by Anonymous Coward

        それ以前に一斉送信は、そういうパッケージなりサービスを使おうぜ。
        Toでも良いけど、個別の送信完了/エラーをチェックするのも面倒だし、件数によってはしょぼいMUAじゃ管理は不能。
        そういう需要があるなら用意するか貸してやれよ>全国の公務員さん達

        こういうのは、昔は同報メールとか言ってなかったっけ?
        名称を分けてあげないと、素人は区別/選択出来ないよね。

        というかMicrosoftは、そういうの無料で用意してあげるんじゃなかったっけ?
        コロナ祭り終わって、そっちも終わったんだっけ?
        囲い込みの一環だからMSアカウントだけ対応とかだったのかな?

        • by Anonymous Coward

          もうMUAが宛先に複数アドレス指定して送信できないようにするべきなんじゃないか。
          指定した場合、別メールに分解して送信するか、そもそも指定できないようにするか、設定で選択。

          RFC733だとそもそも、TOが送りたい相手の最初のメールアドレス、CCが送りたい相手の2番めのメールアドレス、であって複数の相手に送ることは考えていなかったのだ。

    • 一度、いまどきのBccがどうなのか確認せずにML代わりに使おうとして散々なことになった。

      BCCが良くない7つの理由
      https://mailmarketinglab.jp/7-points-of-reason-why-you-havenot-use-bcc... [mailmarketinglab.jp]

      • by Anonymous Coward

        その記事そもそも基本的な SMTP すら理解していない人が書いているように見えるが・・・
        斜め読みで途中までしか見てないけど、少なくとも2箇所以上に誤りがある。

        ・BCC で一括送信したほうが MTA 自体の効率は良いので、BCC を使うことによって遅延するような表現は間違い。
         # RCPT TOが増えるだけなので・・・

        ・BCC はヘッダに格納されるわけではないため、返信した場合には反映されない。

        • by Anonymous Coward

          私もリンク先を見た人で、2点目の件について考えごとをしたんだけど、
          以下URLの図7の場合を言ってるんだと思う。

          https://www.nikkei.com/article/DGXNASFK1702Z_X10C11A6000000/ [nikkei.com]

          BCCにアプリの「全員に返信」ボタンは注意って話で、プロトコル寄りの話じゃないんじゃない

          • by Anonymous Coward

            あなた相当優しいのか、お人好しなのか・・・

            > たとえば、顧客対応やクレーム対応の指示を「社内」と思い込んで「全員返信」でやり取りしたら、実はBCCに対象となる顧客も含まれていたというようなケースです。
            > 引用元:https://mailmarketinglab.jp/7-points-of-reason-why-you-havenot-use-bcc/#BCC%E3%81%8C%E8%89%AF%E3%81%8F%E3%81%AA%E3%81%84%EF%BC%97%E3%81%A4%E3%81%AE%E7%90%86%E7%94%B1

            「全返信したら顧客(BCC)にメールが送信されちゃう」と認識していなければこの文章にはならないので明らかに間違った認識をしているよ。

            よって日経の図7とは全く異なる状況を示唆している。
            BCC に対象となる顧客が含まれていて、社員が全返信して困る理由があるなら上げてくれ。

          • by Anonymous Coward

            > 全員返信などで返すと、実は読まれては困る人がBCCの送信先の中にいたというようなことも発生する可能性があるのです。

            いやいや、この文章はそんな言い訳出来ませんよ。
            BCCに含められた送信先の人に、受信者が返信をする事は出来ません。文字通り見えないんだからさ。
            というか、この元記事そもそもBCCの意味を勘違いしてるっぽいですよね。
            今時の人はCCがカーボンコピーの略って知らない人も多いし、いちいち意味を調べて言葉を使う人も少ないので、こういった略語の機能は注意ですね。

            このnikkeiサイトの記事も、ちょっと不安ですね。
            > BCCで受信したメールに対して、「全員に返信」するのはタブー

            肝心な、自分がBCCに入っていて受信したメールなのかどうかの判断方法が書かれてないんですよ。
            メーラーに表示されることもあれば、返信時に警告が出るとか、最終的には、Toアドレス欄に自分が含まれているか確認しなくてはいけないので、しっかりそこを説明しないと、そりゃぁ初心者は間違えるでしょう。

  • by Ooty (29466) on 2023年10月03日 17時09分 (#4539476) 日記
    分かります。
    netnews の記事をキャンセルするのと同じように考えたのですね。

    # きっとちがう
  • by Anonymous Coward on 2023年10月03日 15時21分 (#4539389)

    まずはIT講習会の必須とその後の簡易試験で合格してから
    メールの使用権利を与えるとよい

    • そこそこITリテラシーがあったとしても、

      過ってメールを送ってしまった。
      メールの送信を取り消すことは出来ないよな。
      でも、メーラを探すと「取り消し」のボタンがある。
      そんなことは出来ないはずだが、最近は出来るようになったのかな?
      もしかしたら特定の条件では取り消しが出来るという程度のものかも知れない。
      まあ、ダメで元々、これ以上、悪い状況にはならないだろう。
      試してみよう。

      で、試してしまうストーリーが浮かびました。
      親コメント
    • by Anonymous Coward

      まずはIT講習会の必須とその後の簡易試験で合格してから
      メールの使用権利を与えるとよい

      作業時間ゼロでやらせてミス再発ですかね
      罰則が必要なのはその上の指揮官なんじゃないかと

      # 作業時間マイナスでないなら素晴らしい環境だまでがテンプレ

    • by Anonymous Coward

      そして誰もいなくなったというオチが
      教育者は思ってる以上にIT音痴よ

    • by Anonymous Coward

      Exchange外のアドレスには「このメールを取り消します」的な文章がメールで飛ぶんだっけ?
      TeamsもカレンダーはExchangeと連携する気がすんだけど、会議の取消で同様の事が起こるのか起こらないのか、パソコンの大先生の俺も正しく把握してないぞ

  • by Anonymous Coward on 2023年10月03日 15時44分 (#4539408)

    もしや相手のメールボックスの中から消せる機能だと思ってポチった?
    実現したらすごい機能だ。
    ていうかExchange下のOutlookなら可能なの?やべーな。

    • どうも、

      ・このメール取り消してくださいというメールが届き、
      ・それを受け取ったOUTLOOKが削除処理をする
      ・同一のExchangeサーバ配下のOUTLOOK同士のときのみ動作

      というものなので、まあ、OUTLOOK限定機能になりますね。
      で、削除要求側のOUTLOOKとして、「このメールは取り消されました」という内容で送信しているだけなので、受け側が処理できなければ、(メッセージが既読の場合も含む)単純にメールがけが残る(ようにみえる)と。

      まあ、いずれにしても、「取り消したい」という送信側の意図は伝わるかなと。
      --
      ¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
      親コメント
      • 社内限定とか同一Exchangeサーバー内だと取消できてます
        相手がinboxに受信していなければですけど

        親コメント
      • by Anonymous Coward

        正確な仕様は知らないが、見た感じはこんなもの

        既読かどうかは関係ない
        ただ、削除されるは受信トレイにあるメールだけ(この場合は対象メールと取消メールが共に消える)
        別フォルダーに(自動でも手動でも)移動したメールは削除されず、取消メールは受信トレイに残る

        • そういえば、netnewsのキャンセルも、仕掛けとしてはキャンセルメッセージが送信されるだけですね。
          で、送信の取り消しをしようとすると、

          Message recall can delete or replace copies of this mesage in recipient inbox, if they have not yet read this message.
          と、ダイアログが出てくるわけです。
          --
          ¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
          親コメント
        • by Anonymous Coward on 2023年10月03日 18時19分 (#4539562)

          > 既読かどうかは関係ない
          関係ある。

          取り消す際には「未読ならば~」という条件が書かれている
          既読の場合は「既読で削除できなかった」旨のメッセージが返って取消に失敗する

          親コメント
        • by Anonymous Coward

          うわー消えるんだ。

          え?そんなこと知らない?
          メールしましたよね?
          あれっ?ない!?

          まぁ大ゴトにして情シスに訴えれば復元は可能なんだろうけど、なんだかなぁ。

    • by Anonymous Coward

      すごくない
      色々と怖い

    • by Anonymous Coward

      もしや相手のメールボックスの中から消せる機能だと思ってポチった?

      そりゃまたミッションインポッシブルな機能で

    • by Anonymous Coward

      「メッセージの取り消し」って書いてあったら普通の人はそう思うんじゃない?
      名前が悪い。

    • by Anonymous Coward

      今Gmailはじめクラウドメールの実態はデータベースになっているんだとか。配信といっても本文が書いてあるレコードに参照権を付与して参照者別にヘッダパートフィールドか下位のテーブルを追加するだけなので、取り消しはその逆を行うことで実現ってことなんかな?
      なんか読んだはずのメールが送信者側から消されたら、不安になるなあ。

  • by Anonymous Coward on 2023年10月03日 16時00分 (#4539425)

    真面目に言って、組織外(自ドメイン外)に簡単に遅れてしまうOutlookがダメ
    TOやCCの宛先をチェックして送信制限するアドインがあるだろうに

  • by Anonymous Coward on 2023年10月03日 17時35分 (#4539502)

    送ったメールは取り消せない
    こんな機能を実装する方が悪いと思う
    せめて外部ドメインが宛先に含まれている場合はボタンを押せなくするぐらいすればよかったのに。

    >同一ドメイン内で同じ「Microsoft Exchange」環境を使用している場合、一部の条件下でメールを削除
    これは受信されていなければ間に合うという事なんだろうか

typodupeerror

Stay hungry, Stay foolish. -- Steven Paul Jobs

読み込み中...