2023年6月、「ITmedia Security Week 2023 夏」において、インターネットイニシアティブの根岸征史氏、SBテクノロジーの辻伸弘氏、「piyolog」でおなじみのpiyokango氏の3人が「積もる『つもり』の落し穴」と題してパネルディスカッションを行った。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
安全、安心のために導入したはずのセキュリティ製品が、いつの間にか落とし穴になっていた――。セキュリティリサーチャーとして活動する3人が、そのような目をそむけたくなる現実に斬り込む本セッションでは、それぞれが見つけた、現場に存在する見落としがちな“つもり”をピックアップし、自らを見直すきっかけとなるような話題を提供する。今回も盛り上がったディスカッションをレポートする。
piyokango氏がピックアップした事例は、豊田市で発生したメールアドレスの流出だ。これは本来Bccで送信すべきメール送信先を、To/Ccに記載してしまったという事故だったが、この裏には“つもり”が存在していた。
piyokango氏によると、本件の背景には豊田市が導入した、「強制Bccシステム」が存在するという。このシステムは、もし利用者がメールのToやCcにメールアドレスを入力していたとしても、システム側でそれをBccに置き換えるものだ。メールアドレスの流出を未然に防ぐために導入されたと思われるものだが、それが意図せずに止まったことが事故の原因だ。
強制Bccシステムが動かなかった理由は、「ライセンス」が更新されていなかったこと。これは「運用委託先が失念していた」と報告されている。その結果、約3日間にわたって強制Bcc設定が働かず、24通のメールに含まれたメールアドレス652件が流出することになった。
Copyright © ITmedia, Inc. All Rights Reserved.