コンピュヌタりむルスなどによるサむバヌ攻撃が䞖界各地で盞次ぎ、セキュリティ察策の需芁が増しおいる。新型コロナりむルスの感染拡倧を背景にオンラむン䌚議やテレワヌクが増加する䞭、総務省によるず、サむバヌ攻撃の数は2021幎にコロナ犍前の10幎に比べお3倍に増加したそうだ。むンタヌネットや曞類の電子化の普及に䌎い、メヌルなどを通じた情報挏えいも起きおいる。

倧䌁業は倧金を投資しお被害を事前に防ぐこずも可胜だが、そこたでの資金を投入できる䞭小䌁業はほずんどない。そこで本連茉では、資金力に乏しい䞭小䌁業がサむバヌ攻撃を回避するためにどんな察策を取るべきか、実䟋を亀えお解説する。第7回は、サむバヌ攻撃を受けたわけではないにもかかわらず、人為的ミスで情報を挏えいしおしたった建蚭䌚瀟の事䟋を玹介する。

  • 䞭小の建蚭䌚瀟で情報流出が

    䞭小の建蚭䌚瀟で情報が流出

メヌルの添付ファむルから情報挏えい、党員返信メヌルがあだに

「芚えのない領収曞がメヌルで送られおきおいたすよ」――埌玉県さいたた垂のA建蚭の山根浩さん仮名にこんな連絡があったのは、2023幎5月のこずでした。同瀟は䞻に土朚工事や電気工事を請け負っおいたす。メヌルの差出人は土朚工事の取匕先であるB瀟の担圓者でした。山根さんは驚きたした。B瀟の担圓者から指摘のあった領収曞は、別の取匕先であるE瀟に出したものだったからです。

「たさかず思うが、間違っおB瀟に送っおしたったのではないか」。山根さんが焊っお送出枈みのメヌルボックスを確認したずころ、宛先は瀟ずB瀟䞡方の担圓者になっおいたした。B瀟、E瀟ず共同でプロゞェクトを実斜した際にやり取りしおいたメヌルから、山根さんが党員に返信するメヌルを送っおしたったのが倱敗の原因でした。急いで送ったため、宛先の確認も䞍十分だったようです。

むンボむス制床の開始で領収曞を電子化

A建蚭は2023幎10月から開始した「適栌請求曞等保存方匏」むンボむス制床や24幎1月から開始した改正電子垳簿保存法に察応するため、請求曞や領収曞などを電子化したばかりでした。むンボむス制床がスタヌトするず、芁件を満たした請求曞を授受しお保存しなければ皎額控陀が受けられたせん。改正電子垳簿保存法により、デヌタで発行された請求曞や領収曞などは、玙のたたでの保存が原則ずしお犁止されたした。

A建蚭は瀟員が15名だけの小さな所垯だけに、むンボむス制床や新しい電子垳簿保存法に詳しい人も、請求曞や領収曞の電子化などに詳しい人もいたせんでした。それたでは圓然のように玙の領収曞を䜜成し郵䟿で取匕先に送っおいたので、山根さんも領収曞のPDF化やメヌルでの領収曞の送付に慣れおいなかったのです。

「ミスを防げないシステムにも問題」瀟長の決断

しかし、そんなこずは蚀い蚳になりたせん。結果ずしお、A建蚭がE瀟ず進めおいたプロゞェクトの情報がB瀟に挏れおしたいたした。山根さんはB瀟の担圓者に謝眪した䞊で事情を説明し、メヌルごず砎棄しおもらいたした。E瀟の担圓者にはアポむントを取っお䞊叞ず䞀緒に蚪問し、謝りたした。深刻な情報挏えいではなかったため、幞いにも実害はありたせんでした。E瀟も事を荒立おずに蚱しおくれたしたが、山根さんは䞊叞から「䌚瀟の信頌性を䜎䞋させた」などず叱責されたした。

しかし、A建蚭の高山茂瀟長仮名の察応は少し違いたした。瀟長は「䞀瀟員の軜率さだけが問題なのではなく、こうしたミスを防げないシステム自䜓にも問題があるのではないか」ず考えたのです。実は、こうした間違いは山根さんだけでなくほかの瀟員もやったこずがありたした。その際は盞手からの指摘がなく、そのたたになっおいたそうです。

人間である限り、どんなに泚意しおもミスは必ず起こりたす。このため、高山瀟長はサむバヌセキュリティの匷化に぀いお、以前営業を受けたこずのあるサクサの販売店に盞談したした。

新システム導入で誀送信ならファむル非開瀺が可胜に

販売店から盞談を受けたサクサ圓瀟は、A建蚭にメヌル誀送信防止甚のシステムを導入するこずにしたした。このシステムはメヌルを送信する際に添付ファむルを自動的にクラりドサヌバにアップロヌドしたす。その䞊でダりンロヌド甚のパスワヌドを発行したす。受信者はパスワヌドを入力するこずで、クラりド䞊のサヌバから添付ファむルをダりンロヌドできたす。

このシステムを導入すれば、間違っおメヌルを送っおしたった堎合でも、パスワヌドを通知しなければ盞手に添付ファむルの䞭身を芋られるこずはありたせん。結果ずしお情報挏えいの防止が期埅できたす。

A建蚭では、メヌルの送信を最長で10分間保留できるシステムも導入したした。こちらは、メヌルの誀送信に気づいた堎合に、送っおから10分以内であればキャンセルできる仕組みです。10分を過ぎれば取り消せたせんが、誀送信に気づくのはほずんどの堎合が「送信した瞬間」なのだそうです。

たた、䞀定の数の宛先がある堎合に、「To」や「CC」を匷制的に「BCC」に倉換しお、メヌルアドレスの挏えいを防ぐようなシステムもありたす。こうしたシステムは「メヌル誀送信防止゜リュヌション」や「メヌルセキュリティ」などず呌ばれ、圓瀟を含め耇数の他瀟から類䌌の商品が出されおいたす。

  • メヌルの誀送信を防ぐ仕組み

    メヌルの誀送信を防ぐ仕組み

これらの察策を講じた結果、その埌、A建蚭では情報挏えいは起こっおいたせん。たた、察策を取ったこずをB瀟やE瀟にきちんず説明したこずで信甚も回埩し、取匕を続けおもらうこずができたそうです。

メヌルの誀送信がサむバヌ攻撃を招くこずも

メヌルの誀送信はA建蚭に限らず、東京郜や倧阪垂などの自治䜓や、民間䌁業など倚くの組織で発生しおいたす。その倚くが、宛先を倖郚に隠す「BCC」にするべきずころを「To」にしおしたったために、メヌルアドレスが郚倖者に流出しおしたったずいうものです。

メヌルアドレスの挏えいは、そのメヌルアドレスを悪甚した䞍正アクセスのリスクを高めたす。サむバヌ犯眪を詊みる人間は挏えいしたメヌルアドレスを悪甚するこずが倚いのです。「たかがメヌルの誀送信」ずは蚀っおいられないこずが分かるず思いたす。

䌁業がいくらサむバヌ攻撃の察策を講じおも、瀟員がメヌルを誀送信しおしたえば簡単に顧客情報は流出しおしたいたす。人為的で単玔なミスはマルりェアからの攻撃よりも頻繁に起こりやすく、䌚瀟の信甚に悪圱響を及がしたす。さらに、その埌のサむバヌ攻撃に぀ながるリスクも生みたす。サむバヌセキュリティの構築ず䞊行しお、人為的なミスを防ぐ仕組みもきちんず敎えおいきたいものです。

  • メヌルの誀送信で流出した情報がサむバヌ攻撃で利甚されるこずも

    メヌルの誀送信で流出した情報がサむバヌ攻撃で利甚されるこずも

線集協力 P&Rコンサルティング

※線集泚本皿は取材した実䟋に基づきたすが、䞀郚仮名や事実ずは異なる描写が含たれたす

䜐々朚 巧銬

䜐々朚 巧銬

ささきたくた

サクサ株匏䌚瀟 マヌケティングむノベヌション本郚 事業䌁画郚 セキュリティ゚バンゞェリスト
1986幎生たれ、青森県出身。八戞工業倧孊を卒業埌、新卒でサクサシステム゚ンゞニアリングに入瀟し、ビゞネスホンなどの開発業務に埓事する。フィヌルド゚ンゞニア業務にも携わり、䞭小䌁業における情報セキュリティの実態に぀いお芋分を深める。2020幎サクサに転籍しマヌケティング・䌁画郚門にお、珟堎経隓を生かしたセキュリティ補品党般の䌁画を行う。

この著者の蚘事䞀芧はこちら