コンピュータウイルスなどによるサイバー攻撃が世界各地で相次ぎ、セキュリティ対策の需要が増している。新型コロナウイルスの感染拡大を背景にオンライン会議やテレワークが増加する中、総務省によると、サイバー攻撃の数は2021年にコロナ禍前の10年に比べて3倍に増加したそうだ。インターネットや書類の電子化の普及に伴い、メールなどを通じた情報漏えいも起きている。
大企業は大金を投資して被害を事前に防ぐことも可能だが、そこまでの資金を投入できる中小企業はほとんどない。そこで本連載では、資金力に乏しい中小企業がサイバー攻撃を回避するためにどんな対策を取るべきか、実例を交えて解説する。第7回は、サイバー攻撃を受けたわけではないにもかかわらず、人為的ミスで情報を漏えいしてしまった建設会社の事例を紹介する。
メールの添付ファイルから情報漏えい、全員返信メールがあだに
「覚えのない領収書がメールで送られてきていますよ」――埼玉県さいたま市のA建設の山根浩さん(仮名)にこんな連絡があったのは、2023年5月のことでした。同社は主に土木工事や電気工事を請け負っています。メールの差出人は土木工事の取引先であるB社の担当者でした。山根さんは驚きました。B社の担当者から指摘のあった領収書は、別の取引先であるE社に出したものだったからです。
「まさかと思うが、間違ってB社に送ってしまったのではないか」。山根さんが焦って送出済みのメールボックスを確認したところ、宛先はE社とB社両方の担当者になっていました。B社、E社と共同でプロジェクトを実施した際にやり取りしていたメールから、山根さんが全員に返信するメールを送ってしまったのが失敗の原因でした。急いで送ったため、宛先の確認も不十分だったようです。
インボイス制度の開始で領収書を電子化
A建設は2023年10月から開始した「適格請求書等保存方式」(インボイス制度)や24年1月から開始した改正電子帳簿保存法に対応するため、請求書や領収書などを電子化したばかりでした。インボイス制度がスタートすると、要件を満たした請求書を授受して保存しなければ税額控除が受けられません。改正電子帳簿保存法により、データで発行された請求書や領収書などは、紙のままでの保存が原則として禁止されました。
A建設は社員が15名だけの小さな所帯だけに、インボイス制度や新しい電子帳簿保存法に詳しい人も、請求書や領収書の電子化などに詳しい人もいませんでした。それまでは当然のように紙の領収書を作成し郵便で取引先に送っていたので、山根さんも領収書のPDF化やメールでの領収書の送付に慣れていなかったのです。
「ミスを防げないシステムにも問題」社長の決断
しかし、そんなことは言い訳になりません。結果として、A建設がE社と進めていたプロジェクトの情報がB社に漏れてしまいました。山根さんはB社の担当者に謝罪した上で事情を説明し、メールごと破棄してもらいました。E社の担当者にはアポイントを取って上司と一緒に訪問し、謝りました。深刻な情報漏えいではなかったため、幸いにも実害はありませんでした。E社も事を荒立てずに許してくれましたが、山根さんは上司から「会社の信頼性を低下させた」などと叱責されました。
しかし、A建設の高山茂社長(仮名)の対応は少し違いました。社長は「一社員の軽率さだけが問題なのではなく、こうしたミスを防げないシステム自体にも問題があるのではないか」と考えたのです。実は、こうした間違いは山根さんだけでなくほかの社員もやったことがありました。その際は相手からの指摘がなく、そのままになっていたそうです。
人間である限り、どんなに注意してもミスは必ず起こります。このため、高山社長はサイバーセキュリティの強化について、以前営業を受けたことのあるサクサの販売店に相談しました。
新システム導入で誤送信ならファイル非開示が可能に
販売店から相談を受けたサクサ(当社)は、A建設にメール誤送信防止用のシステムを導入することにしました。このシステムはメールを送信する際に添付ファイルを自動的にクラウドサーバにアップロードします。その上でダウンロード用のパスワードを発行します。受信者はパスワードを入力することで、クラウド上のサーバから添付ファイルをダウンロードできます。
このシステムを導入すれば、間違ってメールを送ってしまった場合でも、パスワードを通知しなければ相手に添付ファイルの中身を見られることはありません。結果として情報漏えいの防止が期待できます。
A建設では、メールの送信を最長で10分間保留できるシステムも導入しました。こちらは、メールの誤送信に気づいた場合に、送ってから10分以内であればキャンセルできる仕組みです。10分を過ぎれば取り消せませんが、誤送信に気づくのはほとんどの場合が「送信した瞬間」なのだそうです。
また、一定の数の宛先がある場合に、「To」や「CC」を強制的に「BCC」に変換して、メールアドレスの漏えいを防ぐようなシステムもあります。こうしたシステムは「メール誤送信防止ソリューション」や「メールセキュリティ」などと呼ばれ、当社を含め複数の他社から類似の商品が出されています。
これらの対策を講じた結果、その後、A建設では情報漏えいは起こっていません。また、対策を取ったことをB社やE社にきちんと説明したことで信用も回復し、取引を続けてもらうことができたそうです。
メールの誤送信がサイバー攻撃を招くことも
メールの誤送信はA建設に限らず、東京都や大阪市などの自治体や、民間企業など多くの組織で発生しています。その多くが、宛先を外部に隠す「BCC」にするべきところを「To」にしてしまったために、メールアドレスが部外者に流出してしまったというものです。
メールアドレスの漏えいは、そのメールアドレスを悪用した不正アクセスのリスクを高めます。サイバー犯罪を試みる人間は漏えいしたメールアドレスを悪用することが多いのです。「たかがメールの誤送信」とは言っていられないことが分かると思います。
企業がいくらサイバー攻撃の対策を講じても、社員がメールを誤送信してしまえば簡単に顧客情報は流出してしまいます。人為的で単純なミスはマルウェアからの攻撃よりも頻繁に起こりやすく、会社の信用に悪影響を及ぼします。さらに、その後のサイバー攻撃につながるリスクも生みます。サイバーセキュリティの構築と並行して、人為的なミスを防ぐ仕組みもきちんと整えていきたいものです。
(編集協力 P&Rコンサルティング)
※編集注:本稿は取材した実例に基づきますが、一部仮名や事実とは異なる描写が含まれます