セキュリティ製品を入れとけば安全な“つもり”ですか? セキュリティリサーチャーズが指摘する3つの落とし穴ITmedia Security Week 2023 夏

2023年6月、「ITmedia Security Week 2023 夏」において、インターネットイニシアティブの根岸征史氏、SBテクノロジーの辻伸弘氏、「piyolog」でおなじみのpiyokango氏の3人が「積もる『つもり』の落し穴」と題してパネルディスカッションを行った。

» 2023年07月10日 05時00分 公開
[宮田健@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 安全、安心のために導入したはずのセキュリティ製品が、いつの間にか落とし穴になっていた――。セキュリティリサーチャーとして活動する3人が、そのような目をそむけたくなる現実に斬り込む本セッションでは、それぞれが見つけた、現場に存在する見落としがちな“つもり”をピックアップし、自らを見直すきっかけとなるような話題を提供する。今回も盛り上がったディスカッションをレポートする。

左からSBテクノロジー 辻伸弘氏、piyokango氏、インターネットイニシアティブ 根岸征史氏

ツールが動いていた“つもり”

 piyokango氏がピックアップした事例は、豊田市で発生したメールアドレスの流出だ。これは本来Bccで送信すべきメール送信先を、To/Ccに記載してしまったという事故だったが、この裏には“つもり”が存在していた。

 piyokango氏によると、本件の背景には豊田市が導入した、「強制Bccシステム」が存在するという。このシステムは、もし利用者がメールのToやCcにメールアドレスを入力していたとしても、システム側でそれをBccに置き換えるものだ。メールアドレスの流出を未然に防ぐために導入されたと思われるものだが、それが意図せずに止まったことが事故の原因だ。

 強制Bccシステムが動かなかった理由は、「ライセンス」が更新されていなかったこと。これは「運用委託先が失念していた」と報告されている。その結果、約3日間にわたって強制Bcc設定が働かず、24通のメールに含まれたメールアドレス652件が流出することになった。

豊田市における「強制Bccシステム」のライセンス更新ミス

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
Microsoft & Windows最前線2024
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。