事例で学ぶセキュリティインシデント（第17回）暗号ファイルとパスワードを別メールで送るPPAPのリスク

　Q社のIT担当者は総務部門と兼務している。電話をかけてきた商品企画担当者と商品企画課長、総務課長を交えて事態の把握に努めた。商品企画担当者によると、自身で添付ファイルを作成。数カ月後に発売予定の新製品の概要や販売方法、製品の製造で予定される材料とその仕入れ情報などが記載されていたという。記載内容は特別なものではなく、いつものように販売部門と工場の製造部門の担当者にPPAPでメール送信された。

　ただ、メール送信後に聞き覚えのない会社から不審なメールが届いた。その内容は、「新商品の材料に当社が扱う製品を使ってほしい」というものだった。新商品の情報が公開された後であれば、営業活動として自社製品の売り込みも考えられる。だが、今回の新商品は、役員を除けば社内でも限られた部門長にしか伝えられておらず、まして、社外の人が知る由もなかったのだ。

　この経緯を商品企画担当者から聞かされたIT担当者はメールが盗聴されたことを確信した。商品企画担当者のパソコンが不正アクセスされ、パソコン内の情報が流出する可能性もないわけではないが、パソコンのウイルス感染や不正アクセスの兆候を見つけることはできなかった。

　それでは、どこでメールが盗聴され、添付ファイルの内容が外部に漏れたのか。材料を売り込んできた会社の可能性もあるが、メールの盗聴という犯罪行為をした人がわざわざ取引を持ち掛けることも考えにくい。そこで、商品企画担当者がメールを送ってきた会社に「どこから情報を得たのか」尋ねたところ、思いがけない答えが返ってきた。「SNSに掲載されていたので、材料を売り込むためメールで連絡をとった」という。

　IT担当者がそのSNSにアクセスしてみたが、もう掲載されていなかった。仮定の話だが、Q社の添付ファイルを盗聴した悪意のある第三者が面白半分にSNSに載せた可能性もあるが、今となっては確かめるのは困難だ。

2要素認証や暗号通信などセキュアなクラウドストレージに移行

　Q社ではPPAPに代わる添付ファイルの送受信の方法を検討することになった。例えば、送信側が添付ファイル付きメールを送信すると、自動的に添付ファイルをオンラインストレージにアップロード。そして、受信側のメールには添付ファイルを保管しているオンラインストレージのURLが送られる。受信側はそのURLにアクセスすることで添付ファイルを受け取れるサービスもある。

　Q社のIT担当者は役員や管理職と相談した結果、クラウドサービスの導入を決定した。メールの添付ファイル以外にも、メールでは送受信が困難な大容量ファイルなどは本社に設置したファイルサーバーを使って工場や営業拠点とファイルをやり取りしている。ファイルサーバーの更新時期も近づいており、PPAPのインシデント対応と合わせてクラウドサービスへの移行を決めた。

　ただ、クラウドストレージを利用する場合、ファイルを格納するURLとパスワードを同一経路で送ると、PPAPと同様の盗聴リスクもある。そこで、セキュリティ対策としてID、パスワードのほか、SMSによる2段階認証が可能なサービスを選択。アクセス時にスマートフォンなどへ送信されるパスワードを入力することで、なりすましを防止する。また、暗号化通信を使ってファイルのやり取りが行えるサービスであれば、盗聴リスクも回避できると考えたのだ。

　添付ファイルや社内のファイルはクラウドストレージを利用する仕組みに変更するが、社内・社外の連絡にはこれまで通りにメールを使う。また、取引先からはメールで添付ファイルが送られることも少なくない。そこで、IT担当者はメールのセキュリティ対策として、相手先が不明なメールの添付ファイルは開かない、メールに記載されたURLはクリックしないなどの注意を徹底するよう社内に通達した。Q社ではPPAPのインシデントを契機に社内・社外との情報交換の進め方や情報セキュリティ対策を見直し、顧客・取引先を含め、社会から信頼される組織づくりを進めていく考えだ。