TOPプロジェクト管理> メールセキュリティ問題の多様化
メールセキュリティからメールコンプライアンスへ
メールセキュリティからメールコンプライアンスへ〜日本版SOX法の準備をしよう

第2回:メールセキュリティ問題の全体像
著者:ホライズン・デジタル・エンタープライズ   宮本 和明
2006/2/14
前のページ  1  2   3  次のページ
メールセキュリティ問題の多様化

   メールセキュリティ市場が少し変わったのは、やはり個人情報保護法の施行であった。個人情報保護法の施行によってメールセキュリティ問題が多様化したのである。今回は表1にあげた5つについて解説していく。
  • 「Cc:」の配信問題
  • SPAMメール問題
  • フィッシング詐欺
  • Webビーコン問題
  • 暗号化

表1:多様化するメールセキュリティ問題


「Cc:」の配信問題

   まずご法度になったのが、「To:」や「Cc:」に多人数を入力してのメール送信であった。もちろんすぐに「Bcc:」に切り替えての運用になったが、それでも人間がやることなので、頻繁に入力欄を誤り、情報漏洩事件となった。

   また情報配信の際にいわゆるメーリングリストを利用し、送信者限定の設定を怠った企業もあった。

   「不要ですので送らないでください」というある受信者からのメールが全員に送信され、それを受け取ったある受信者が「これは何のメールですか、私は何も送っていません」というメールがさらに全員に、「みなさんこのメールに返信をしないようにしましょう」という善意のメールが何通も全員に届き、「こういう事故が起こらないように、弊社の製品を…」と売り込みに走る人間があらわれ、翌日企業側がシステムを停止するまでの大混乱をきたしたこともあった。

   キャンペーンメールは徐々にシステム化され、こういった事故は減ったものの、いまだに見受けられる。

2005年12月5日:コーポレート情報システム
年末・年始の案内メールを「To:」で送り、1,333名分のメールアドレスが流出。
http://panasonic.co.jp/cisc/owabi.htm

2005年11月10日:かんら信用金庫
「当金庫を偽装して郵送されるCD-ROMにご注意ください」との件名で電子メールを送信したが、「Bcc:」で送信するべきところ誤って「Cc:」で送信したため、着信先で45名分のメールアドレスが表示される。

2005年11月7日:ネットプロテクションズ
お詫びメールを一斉配信する際に、誤って他顧客のメールアドレスが表示される状態で配信。2名から107名の配信単位で、計561名のアドレスが相互に閲覧できる状態で配信された。
http://www.netprotections.co.jp/about_np/pressrelease/tr051108privacy.html

2005年11月16日:アニマックスブロードキャスト・ジャパン
キャンペーン当選メールを12名の視聴者へ送付する際、ミスにより他の送付者にメールアドレスが漏洩。
http://www.animax.co.jp/oshirase/051122.html

表2:2005年11〜12月の「To:」「Cc:」配信による事故の実例


SPAMメール問題

   SPAMメール問題は、現在もメールの主要な問題の1つである。

   2005年2月の米国での調査(http://www.smith.umd.edu/ntrs/)では、1人あたりSPAMメールの消去に1日2.8分を費やしており、米国全体で年間約220億ドルの労働力の無駄遣いを招いている。

   この問題は単純に時間をとられるだけではなく、実はセキュリティの問題の一端を担っているのだ。SPAMメールを送信する業者は、無差別にメールを送信しているだけではなく、送信先から返信が戻ってくるかどうか、エラーが戻ってくるかどうかで、メールアドレスが生きているかどうかを判別している。そして、生きているメールアドレスのリストが裏で売買されている。

   一部のプロバイダでは、SPAMメールと思われるメール群は極力排除するという手を打っている。しかし悪意のないメールでも、いくつかのアドレスを誤入力しただけで数時間のアクセス禁止処置を受けるなど、二次的な災害を引き起こすケースがある。


フィッシング詐欺

   また、SPAMメールの中には、正当な企業のページに見えるように偽装したWebサイトに引き入れようとするもの、あるいは偽装ページ自体をHTMLメールで送りつけてくるものがでてきた。メールにおける「振り込め詐欺」である。

   フィッシング詐欺への対策としては、中々有効な手がでてこなかった。Webサイト側でも細々とクロスサイトスクリプティング対策などが進められていたが、それも決定的なものではない(クロスサイトスクリプティング対策がなぜフィッシング詐欺に有効かについての説明は、ここでは割愛させていただきます)。

   メールを送信する企業側で行える対策としては、電子署名をメールに付与することが考えられる。

   特定の企業から発信されるメールには必ずその企業の署名が付与されており、それ以外のメールはフィッシング詐欺メールの可能性が高い、という方策である。一部の都市銀行などでは導入がはじまっており、金融業界ではここ数年で一気に広まる可能性が高い。

2005年12月:ジェイ・エヌ・エス
同社の顧客に対して、同社と類似したWebサイトへアクセスを促し、メールアドレス変更手続きを促して情報を入力させるフィッシングメールが出回った。
http://www.jns-online.com/

2005年11月:ヤフー
Yahoo!オークションを騙るフィッシングメールが流通。メールに掲載されたリンクをクリックすると偽装サイトに誘導され、IDやパスワード、暗証番号などを入力させられる。
http://auctions.yahoo.co.jp/

2005年7月:UFJ銀行
セキュリティのためと称して本人確認を促す電子メールが配信される。偽装したページにてインターネットバンキングの暗証番号や、クレジットカードの会員番号や暗証番号など重要情報を入力させられる。

表3:2005年後半のフィッシングメールによる詐欺の実例

前のページ  1  2   3  次のページ


株式会社ホライズン・デジタル・エンタープライズ 宮本 和明
著者プロフィール
株式会社ホライズン・デジタル・エンタープライズ  宮本 和明
代表取締役副社長。1997年からLinuxに関するビジネスに取り組み、サーバ管理ソフトウェアHDE Controller、電子メールエンジンHDE Customers Careなどのパッケージソフトウェアの開発に携わる。金融・流通・自治体など様々な業種の電子メール関連システムにも携わり、今後のメールシステムの行く末を見守り続けている。


INDEX
第2回:メールセキュリティ問題の全体像
  ライブドアショックから再認識する企業のリスク
メールセキュリティ問題の多様化
  Webビーコン問題