Microsoft Outlookの「メッセージの取り消し機能」を誤使用しメールアドレスが再流出 56
ストーリー by nagazou
再再発防止 部門より
再再発防止 部門より
三重県の9月27日の発表によると、三重県立高校でメールを誤送信する問題が再発したという。最初の問題は、同校が9月19日に高校生活入門講座に参加登録した中学生421人に対してアンケートメールを送信。その際、BCCに記載するべきアドレスを宛先部分に誤って記載したことから、メールアドレスが漏洩。同校はこの問題を公表、謝罪していた。ところが同月26日に再び誤送信が発生しまったという(三重県リリース、Security NEXT)。
2回目の誤送信の原因は、学校の教頭が「Microsoft Outlook」の「メッセージの取り消し機能」を誤って利用していたことにある。この機能は、同一ドメイン内で同じ「Microsoft Exchange」環境を使用している場合、一部の条件下でメールを削除できるものだが、外部宛のメールには適用されない。この際、19日付メールの送信先全員に「このメールを取り消します」という内容が自動的に送信される仕組みが発動したことで、再びメールアドレスが漏洩した。学校側は対象者に謝罪し、誤送信したメールの削除を依頼しているという。
2回目の誤送信の原因は、学校の教頭が「Microsoft Outlook」の「メッセージの取り消し機能」を誤って利用していたことにある。この機能は、同一ドメイン内で同じ「Microsoft Exchange」環境を使用している場合、一部の条件下でメールを削除できるものだが、外部宛のメールには適用されない。この際、19日付メールの送信先全員に「このメールを取り消します」という内容が自動的に送信される仕組みが発動したことで、再びメールアドレスが漏洩した。学校側は対象者に謝罪し、誤送信したメールの削除を依頼しているという。
やっとわかった (スコア:4, 参考になる)
・9/16 にTOに421人のメールアドレス書いて送信
・謝罪
・9/26に、教頭が「おお、この、9/16のメールなんとかせねば。そういえば、OUTLOOKには、送信メールの取り消しがある」
・送信メールの取り消し実行
・が、外部のメールは取り消し不可。9/16と同じヘッダで、「このメールは取り消されました」と一斉送信。
・というわけで、TOに421人のメールアドレスを書いたメールが送信。
まあ、「仕組みを弁えず」ではあるけど、これは、ITパスポートレベルでは回避できない気がする。
実際やってみたら、「インボックスにあって、読まれてなければ削除される」というメッセージは出るけど、新たに「取り消されました」メールが行くとまでは読めないし。
¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
Re: (スコア:0)
この件で教頭を責めるのは、ちょっと可哀想な気がする。
こんな仕様、知らなかったら気を付けようもないのでは。
後出しで指摘するなら、一度ミスった後なんだから自分で判断して対処せずに、
事後の全ての操作を専門家に任せるべきだったとは思うけど。
Re: (スコア:0)
MOSなら…回避できた…?
情報も必修になったらしいし (スコア:2)
教員免許の条件にITパスポートでも課せば?
なんもせんでも受験者増えてIPAもニコニコ。
現役教員で持ってない人はPC使用禁止で全部手書き。
Re: (スコア:0)
ITパスポートはOutlookの使い方まで審査してんのか。
そう思って見に行ってみたら案の定・・・
https://www3.jitec.ipa.go.jp/JitesCbt/index.html [ipa.go.jp]
久しぶりに文字化けという現象を見た。(Firefox)
この資格持ってても、今回の事件が回避できるとは思えなかったけど。
> 「このメールを取り消します」という内容が自動的に送信される仕組みが発動
OutlookはどんなUIしてんの?
この機能要る?日本語での説明もちゃんと出来てんのかな?
初見殺しのこんな機能、ボタン押すだけで実現してるなら、回避不能だわ。
確認ダイアログ10連ぐらいで、はいはい押させないと。
5回目くらいで
Re:情報も必修になったらしいし (スコア:1)
送信済みメールを取り消す、または置き換える [microsoft.com]
お客様と受信者が全員、Microsoft Exchange または Microsoft 365 を使用しており、同じ組織内にいる場合は、送信したメール メッセージを取り消したり、置き換えたりすることができます。
重要: アカウントが MAPI または POP アカウントの場合、取り消すことはできません。
Re: (スコア:0)
取り消し用の(ヘッダの付いた)メールを送信することで、Outlook が対象のメールと取消メールを削除する動き。
Outlookを利用していないユーザからすれば、ただ2通メールが送付される意味のないものだし、Outlook でもしばしば取消に失敗する。過去の遺物。
重要度や開封確認などを含めて独自実装は、いい加減廃止するべき。
Re: (スコア:0)
免許取得時だけでは不十分。
そもそも教員だけの問題でもない。
公務員全員に対して、継続して教育を行う仕組みが必要。
素直にIT専門事務員を (スコア:2)
雇ったほうが良いんじゃないか?
予算的に・・・と言うなら一人で数校掛け持ちしてもらうとか。(流出の懸念があるから難しいか)
何でもかんでも教員がやる(やらせる)のは終わりにしても良いと思うけど。
Re:素直にIT専門事務員を (スコア:1)
1インシデント幾らか、年間契約で外注しても良さそうな
発注先はデジタル庁で監督、予算は文科省
Re: (スコア:0)
1インシデント幾らか、年間契約で外注しても良さそうな
発注先はデジタル庁で監督、予算は文科省
最低必要インシデント数の項目が出てきそうですな
Re: (スコア:0)
非常勤講師ですよ。週2日くらい
メールを送れる日が限られますね。
Re: (スコア:0)
学校個々に配置する必要ないだろ。
フルリモートでも十分。
Re: (スコア:0)
事務員に「先生」を上回る強力な権限を持たせてくれるならいいけど、そんなことができるとも思えず。
Re: (スコア:0)
教職員より権限のある事務員、なんて文科省の一般職の天下り先にするんなら組織も含めすぐさま出来そうだけどな。
Re: (スコア:0)
学校なんかの天下りに喜んで飛びつく奴が、変態以外に居るとは思えない。
そもそもメールの利用方法を組織が理解していない (スコア:1)
> BCCに記載するべきアドレス
べきじゃない。
個別にToに記載して送れ。
Re:そもそもメールの利用方法を組織が理解していない (スコア:1)
>個別にToに記載して送れ。
メアドリスト与えたら個別にtoに入れて、テンプレファイルをメール送信する学校向けアプリ無いんかな
たぶん教頭か誰かもスクリプトとか組まなさそうだし
Re: (スコア:0)
学校向け専用の必要ないだろ
https://addons.thunderbird.net/ja/thunderbird/addon/mail-merge/ [thunderbird.net]
Re: (スコア:0)
あるなら使えばいいのにな
Re: (スコア:0)
Outlookよく知らないんだけど、「連絡先グループ」を使うとできるみたい [google.com]。見た感じ全部Toにぶち込むって機能じゃないはず。
Re: (スコア:0)
> BCCに記載するべきアドレス
べきじゃない。
個別にToに記載して送れ。
それ以前に頭文字を暗号としか認識できない状態だから
「公開宛先(To)」と「公開同送宛先(CC)」と「秘匿宛先(BCC)」として
色と絵のわかりやすいアイコンにしないと無理じゃないかな
# Toはやばげな血色で晒首にしておくとか
Re: (スコア:0)
それ以前に一斉送信は、そういうパッケージなりサービスを使おうぜ。
Toでも良いけど、個別の送信完了/エラーをチェックするのも面倒だし、件数によってはしょぼいMUAじゃ管理は不能。
そういう需要があるなら用意するか貸してやれよ>全国の公務員さん達
こういうのは、昔は同報メールとか言ってなかったっけ?
名称を分けてあげないと、素人は区別/選択出来ないよね。
というかMicrosoftは、そういうの無料で用意してあげるんじゃなかったっけ?
コロナ祭り終わって、そっちも終わったんだっけ?
囲い込みの一環だからMSアカウントだけ対応とかだったのかな?
Re: (スコア:0)
もうMUAが宛先に複数アドレス指定して送信できないようにするべきなんじゃないか。
指定した場合、別メールに分解して送信するか、そもそも指定できないようにするか、設定で選択。
RFC733だとそもそも、TOが送りたい相手の最初のメールアドレス、CCが送りたい相手の2番めのメールアドレス、であって複数の相手に送ることは考えていなかったのだ。
Re:そもそもBccは、もはや使い物にならない。 (スコア:0)
一度、いまどきのBccがどうなのか確認せずにML代わりに使おうとして散々なことになった。
BCCが良くない7つの理由
https://mailmarketinglab.jp/7-points-of-reason-why-you-havenot-use-bcc... [mailmarketinglab.jp]
Re: (スコア:0)
その記事そもそも基本的な SMTP すら理解していない人が書いているように見えるが・・・
斜め読みで途中までしか見てないけど、少なくとも2箇所以上に誤りがある。
・BCC で一括送信したほうが MTA 自体の効率は良いので、BCC を使うことによって遅延するような表現は間違い。
# RCPT TOが増えるだけなので・・・
・BCC はヘッダに格納されるわけではないため、返信した場合には反映されない。
Re: (スコア:0)
私もリンク先を見た人で、2点目の件について考えごとをしたんだけど、
以下URLの図7の場合を言ってるんだと思う。
https://www.nikkei.com/article/DGXNASFK1702Z_X10C11A6000000/ [nikkei.com]
BCCにアプリの「全員に返信」ボタンは注意って話で、プロトコル寄りの話じゃないんじゃない
Re: (スコア:0)
あなた相当優しいのか、お人好しなのか・・・
> たとえば、顧客対応やクレーム対応の指示を「社内」と思い込んで「全員返信」でやり取りしたら、実はBCCに対象となる顧客も含まれていたというようなケースです。
> 引用元:https://mailmarketinglab.jp/7-points-of-reason-why-you-havenot-use-bcc/#BCC%E3%81%8C%E8%89%AF%E3%81%8F%E3%81%AA%E3%81%84%EF%BC%97%E3%81%A4%E3%81%AE%E7%90%86%E7%94%B1
「全返信したら顧客(BCC)にメールが送信されちゃう」と認識していなければこの文章にはならないので明らかに間違った認識をしているよ。
よって日経の図7とは全く異なる状況を示唆している。
BCC に対象となる顧客が含まれていて、社員が全返信して困る理由があるなら上げてくれ。
Re: (スコア:0)
> 全員返信などで返すと、実は読まれては困る人がBCCの送信先の中にいたというようなことも発生する可能性があるのです。
いやいや、この文章はそんな言い訳出来ませんよ。
BCCに含められた送信先の人に、受信者が返信をする事は出来ません。文字通り見えないんだからさ。
というか、この元記事そもそもBCCの意味を勘違いしてるっぽいですよね。
今時の人はCCがカーボンコピーの略って知らない人も多いし、いちいち意味を調べて言葉を使う人も少ないので、こういった略語の機能は注意ですね。
このnikkeiサイトの記事も、ちょっと不安ですね。
> BCCで受信したメールに対して、「全員に返信」するのはタブー
肝心な、自分がBCCに入っていて受信したメールなのかどうかの判断方法が書かれてないんですよ。
メーラーに表示されることもあれば、返信時に警告が出るとか、最終的には、Toアドレス欄に自分が含まれているか確認しなくてはいけないので、しっかりそこを説明しないと、そりゃぁ初心者は間違えるでしょう。
記事のキャンセル (スコア:1)
netnews の記事をキャンセルするのと同じように考えたのですね。
# きっとちがう
教育者のITリテラシー教育の不備 (スコア:0)
まずはIT講習会の必須とその後の簡易試験で合格してから
メールの使用権利を与えるとよい
Re:教育者のITリテラシー教育の不備 (スコア:1)
過ってメールを送ってしまった。
メールの送信を取り消すことは出来ないよな。
でも、メーラを探すと「取り消し」のボタンがある。
そんなことは出来ないはずだが、最近は出来るようになったのかな?
もしかしたら特定の条件では取り消しが出来るという程度のものかも知れない。
まあ、ダメで元々、これ以上、悪い状況にはならないだろう。
試してみよう。
で、試してしまうストーリーが浮かびました。
Re: (スコア:0)
まずはIT講習会の必須とその後の簡易試験で合格してから
メールの使用権利を与えるとよい
作業時間ゼロでやらせてミス再発ですかね
罰則が必要なのはその上の指揮官なんじゃないかと
# 作業時間マイナスでないなら素晴らしい環境だまでがテンプレ
Re: (スコア:0)
そして誰もいなくなったというオチが
教育者は思ってる以上にIT音痴よ
Re: (スコア:0)
Exchange外のアドレスには「このメールを取り消します」的な文章がメールで飛ぶんだっけ?
TeamsもカレンダーはExchangeと連携する気がすんだけど、会議の取消で同様の事が起こるのか起こらないのか、パソコンの大先生の俺も正しく把握してないぞ
好奇心は教頭を殺す (スコア:0)
もしや相手のメールボックスの中から消せる機能だと思ってポチった?
実現したらすごい機能だ。
ていうかExchange下のOutlookなら可能なの?やべーな。
Re:好奇心は教頭を殺す (スコア:2)
・このメール取り消してくださいというメールが届き、
・それを受け取ったOUTLOOKが削除処理をする
・同一のExchangeサーバ配下のOUTLOOK同士のときのみ動作
というものなので、まあ、OUTLOOK限定機能になりますね。
で、削除要求側のOUTLOOKとして、「このメールは取り消されました」という内容で送信しているだけなので、受け側が処理できなければ、(メッセージが既読の場合も含む)単純にメールがけが残る(ようにみえる)と。
まあ、いずれにしても、「取り消したい」という送信側の意図は伝わるかなと。
¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
Re:好奇心は教頭を殺す (スコア:1)
社内限定とか同一Exchangeサーバー内だと取消できてます
相手がinboxに受信していなければですけど
Re: (スコア:0)
正確な仕様は知らないが、見た感じはこんなもの
既読かどうかは関係ない
ただ、削除されるは受信トレイにあるメールだけ(この場合は対象メールと取消メールが共に消える)
別フォルダーに(自動でも手動でも)移動したメールは削除されず、取消メールは受信トレイに残る
Re:好奇心は教頭を殺す (スコア:2)
で、送信の取り消しをしようとすると、
Message recall can delete or replace copies of this mesage in recipient inbox, if they have not yet read this message.
と、ダイアログが出てくるわけです。
¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
Re:好奇心は教頭を殺す (スコア:1)
> 既読かどうかは関係ない
関係ある。
取り消す際には「未読ならば~」という条件が書かれている
既読の場合は「既読で削除できなかった」旨のメッセージが返って取消に失敗する
Re: (スコア:0)
うわー消えるんだ。
え?そんなこと知らない?
メールしましたよね?
あれっ?ない!?
まぁ大ゴトにして情シスに訴えれば復元は可能なんだろうけど、なんだかなぁ。
Re: (スコア:0)
すごくない
色々と怖い
Re: (スコア:0)
もしや相手のメールボックスの中から消せる機能だと思ってポチった?
そりゃまたミッションインポッシブルな機能で
Re: (スコア:0)
「メッセージの取り消し」って書いてあったら普通の人はそう思うんじゃない?
名前が悪い。
Re:好奇心は教頭を殺す (スコア:2)
¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
Re: (スコア:0)
今Gmailはじめクラウドメールの実態はデータベースになっているんだとか。配信といっても本文が書いてあるレコードに参照権を付与して参照者別にヘッダパートフィールドか下位のテーブルを追加するだけなので、取り消しはその逆を行うことで実現ってことなんかな?
なんか読んだはずのメールが送信者側から消されたら、不安になるなあ。
そんなメーラーを使わせるのが悪い (スコア:0)
真面目に言って、組織外(自ドメイン外)に簡単に遅れてしまうOutlookがダメ
TOやCCの宛先をチェックして送信制限するアドインがあるだろうに
Re:そんなメーラーを使わせるのが悪い (スコア:1)
文科省かデジタル庁がそういうのを世話して上げたら良いのにね
Microsoft Exchangeの機能が悪いのでは。 (スコア:0)
送ったメールは取り消せない
こんな機能を実装する方が悪いと思う
せめて外部ドメインが宛先に含まれている場合はボタンを押せなくするぐらいすればよかったのに。
>同一ドメイン内で同じ「Microsoft Exchange」環境を使用している場合、一部の条件下でメールを削除
これは受信されていなければ間に合うという事なんだろうか