流出の一番の原因ってなんだと思いますか?

メールの誤送信です。つまり宛先間違いですね。

個人情報がどう流出したかについての、ある集計があります。

宛先間違いにもいろいろありますが、メールアドレスを手で入力したらひと文字違った、という事例が多いです。

例えば2022年に発覚した国立大学のケースでは、ある教員が仕事で使っているメールを個人用のメールに転送していました。

本人は自分のGmailのアドレスに転送していたと思い込んでいたのですが、打ち間違えて「L」の小文字の「l」を入れず「gmai.com」と入力して送っていたんです。

その過ちに気付くまでの10か月間、教員は5000件のメールを誤送信してしまい、約2100人の個人情報を流出させてしまったんです。

そもそも、宛先が存在しなければメールは自動で返送されますが、今回の「gmai.com」という宛先は実在していました。

そのため、間違いに気づくのが遅れたんですね。

その点が重要で、これはおそらく、何者かが、Gmailに似た名前のサーバーをわざと設置して、誤送信メールを集めていた可能性があるとみられています。

調べてみたら、聞きなれない中米の国で登録されたサーバーでした。

このサーバーは、誰かが間違えるだろうということを予測して、誤って送られたメールを受け取るわなのようなものです。

届いたメールを盗み見していたおそれがありますし、情報を悪用しているかもしれません。

このような紛らわしいものを「ドッペルゲンガー・ドメイン」と言います。自分自身の幻覚という意味です。

アドレス帳の管理が極めて重要です。

メールアドレスは極力手入力しない。どうしても必要な場合は、いったん空メールを送って、届いたかどうか確認する。

その確認ができてから重要なデータなどは送る、ですね。

「1」(イチ)と「l」(エル)、「0」(ゼロ)と「O」(オー)とか、これは誰でも間違えるんです。

面倒ですが、ひと手間かけることでセキュリティーを保てると思います。

それは「PPAP」(ピーピーエーピー)という方法ですね。

その対策は最近はあまり効果的でないとされています。

まず、そもそも誤送信対策にはならないという指摘があります。

宛先を間違えた場合、パスワードも間違えた相手に知られてしまうため、中身を見られてしまうからです。

PPAPによるメールの誤送信で、個人情報が漏えいしたケースは最近も明らかになっています。

2023年1月に、国の研究機関の職員が、ファイルを暗号化してメールに添付して送信したあと、別のメールでパスワードを送信しました。

しかし、どちらのメールも宛先が間違っていたことが発覚し、個人情報が漏えいしたと発表しています。

このほか最近流行した「エモテット」というコンピューターウイルスがあるのですが、パスワード付きのファイルが添付されたメールで感染を広げる特徴がありました。

紛らわしいので、官公庁や企業で、PPAPをやめるところが相次いでいます。

あと、流出の原因として、「紛失」も、よくあります。

酔っ払って、会社のパソコンが入ったカバンをなくしてしまったというケースは結構頻繁に起きているようです。

まずは重要な情報を持ち出さないということだと思うんですけど、持ち出すならパスワードをちゃんとかけて暗号化しておくこと。

もし、万が一、紛失して誰か手に渡っても、実害がないように対策を考えておくということは大事だと思いますね。

あと、皆さんも社会人になったら気をつけたほうがいいのが「BEC」です。

はい。英語のBusiness E-mail Compromiseの頭文字でビジネスメール詐欺といいます。

会社のアカウントを乗っ取ったり、関係者になりすましてメールを送ったりして、お金や情報を騙し取るんです。

例えば社長や上司になりすまして、経理担当者にメールが届くんです。

「極秘プロジェクトで至急、金を動かしたいからここの口座に振り込んで」と。

「極秘だから絶対誰にも言うな」と。手口としてはオレオレ詐欺と似ていて、人間を狙っているんですね。

そうですよね。メールというのは送信者の偽装が簡単で、メールソフトの設定を変えるだけで別の会社の実在する人になりすますこともできるんです。

また、コロナ禍以降はこうした情報流出の危険性がいっそう増しているんです。

そのとおりです。リモートで仕事するためには自宅などからインターネットで社内のシステムに接続しますが、それにはVPNという通信内容を別の誰かに見られないようにする方法がほぼ必須なんですね。

ただ最近、何者かがVPNに不正にアクセスし、企業内のネットワークに入り込むという被害が相次いでいます。

企業が、セキュリティが弱い、古いバージョンのVPN装置を利用していることが原因になることが多いです。

しかも、VPN装置が古いバージョンかどうかは、調べればある程度わかってしまう。

わかるんですよ。で、古いバージョンだと、どんなところが弱いか、公表されていることが多いんですね。

ネット上の不正なアクセスって、本来は一般の人が入れない、会社の従業員入り口から侵入されるイメージです。

古いバージョンだと、ドアのカギを開ける方法がすでに知られていたり、ダイヤル錠の番号が流出しちゃったのに近い状態ですね。

大阪に本社があるゲームソフトの大手企業が2020年に被害を受けたサイバー攻撃では、VPN装置が狙われ、社員など約1万5000人の個人情報が流出しました。

さらにランサムウエアの被害を受けました。

ランサム=身代金の要求と、ソフトウエアを組み合わせた造語です。

パソコンにウイルスを送りつけて感染させ、中のデータを勝手に暗号化し、利用できなくします。

元に戻したければ、金を支払えと脅迫するのです。「振込先はここで、暗号資産で振り込め!」みたいなメッセージが出てきます。

暗号資産が使われるのは、犯罪組織側の身元を特定できなくするためなんです。

戻してくれたという話もありますが、何もしてくれなかったという報告もあり、金を払っても元に戻る保証はありません。

企業の多くはこうしたことに備えて、日常的にバックアップを取り、お金を払わなくても復旧できるという対策も進みました。

しかし、犯罪組織はそれを見越して、最近はいわば二重の脅迫をしてくるようにもなりました。

「もし金を払わない場合、あらかじめ奪っておいたデータをネットで公開する」というのです。実際に、世界中の企業の情報が、ネット上にさらされています。

つまりデータは元に戻せたとしても、情報が流出すると困るので、日本円に換算すると数億円から数十億円という高額な身代金を払わざるをえないケースもあります。

さらに、取引先の企業にわざわざ連絡して、あの企業からあなたたちの情報が漏れますよと伝えることで、身代金の支払わせようとするケースもありました。

とても悪質で手が込んでいます。

対策というのは、実は、個人がふだんからやる対策と結構共通していて、IDやパスワードの管理、そしてソフトウエアのアップデートがものすごく大事なんです。

それを徹底することで、かなりは防げるはずです。

ただ、組織をそうした攻撃から守ってくれているのは「情報システム部門」の人たちですが、私の取材実感では、人材が日本は圧倒的に不足しています。

ほかの業務と兼任で専従者を置いていないケースもあります。人的な投資が足りていないのが現状ですね。

残念ながら減る可能性は少ないと言えます。

今後も手を替え品を替えいろんな攻撃方法が出てくることは間違いないです。

なので、いま流行している手口はこうだから気を付けてくださいね、という注意喚起を社内で共有しておくことが重要なんです。

誰でも偽メールに騙されてしまうおそれはあります。だから、もしこんなメールが送られてきたら確認し合おうね、と事前に作戦を練っておくことが大切ですね。

そうです。よくない風潮として、サイバー攻撃による被害を公表しない企業も多いんですよ。

セキュリティーが絡む話はそもそも秘匿性が高いと思われがちで、公表や他社との情報交換も、しづらいのは理解できます。

ただ、本来は、こういった手口の横行を公表して、社会全体で意識を高めることが必要なんです。