サイト内の現在位置

電子メール誤送信の発生原因と対策

NECセキュリティブログCauses of Misdirected E-mail and Countermeasures

NECサイバーセキュリティ戦略統括部セキュリティ技術センターの山田です。
今回のセキュリティブログでは、セキュリティ事故の代表例の1つである電子メール(以下、メール)の誤送信について取り上げたいと思います。メールは広く普及し企業活動の必需品となりましたが、未だにメール誤送信は多く発生しております。メール誤送信はどうやって発生するのか、どのような防ぎ方があるのか、それを考えてみましょう。

メール誤送信の傾向

企業活動において、メールは切っても切り離せない存在となっております。メールは、挨拶や報告・連絡・相談、マーケティングや商談・契約等、多岐に渡って使える便利なツールです。しかし便利な反面、送信先や添付ファイルを間違えてしまうと「メール誤送信」を起こしてしまうツールでもあります。

日本情報経済社会推進協会(JIPDEC)new window[1]の2021年度「個人情報の取扱いにおける事故報告集計結果」new window[2]によると、個人情報漏洩の事故原因の37.0%は「メール誤送信」でした。この数字は事故原因としては最も多く、2020年度のメール誤送信件数と比較すると約1.5倍に増加しており、注意が必要な状況になっております。

また、2022年4月に改正個人情報保護法new window[3]が施行されたことにより、個人情報の漏洩が発生した場合は個人情報保護委員会への報告および本人への通知が義務化される等、より厳格に個人情報を運用することが求められております。

メール誤送信は、企業のイメージダウンや営業機会の損失だけでなく、事故発生後の外部報告や再発防止策の立案・実施の対応工数も発生する等、企業への経済的負担が大きい事故になっております。

メール誤送信はどうやって発生するのか

メール誤送信の原因は、ソフトウェアの不具合を除くと、多くは送信者の操作ミス(ヒューマンエラー)と考えられます。ここでは、具体的にどのような操作ミスがメール誤送信に繋がるのか、考えてみましょう。

(1)タイプミス
宛先のメールアドレスを手入力する際に、誤った文字や数字を入力してしまうことで、意図しない相手にメールが送信されるケースがあります。例えば、"yamada@example.com"(山田さん)と入力したつもりが、"yadama@example.com"(矢玉さん)と誤った順序で入力してしまうことが考えられます。

(2)自動補完機能(オートコンプリート)による誤入力
自動補完機能(オートコンプリート)は、入力中の情報から送信先の候補を推測して提示する便利な機能です。しかし、自動補完機能は送信先の候補を複数表示するため、送信者が誤った送信先を選択してしまうことがあります。例えば、"watanabe"と入力し始めたところで、"渡辺さん"ではなく"渡部さん"が送信先の候補に挙がり、それを選んでしまうことで、メール誤送信が発生してしまうということが考えられます。

(3)類似した名前・アドレスの混同
企業や組織内で同姓同名の人がいる場合や、メールアドレスが似ている人がいる場合、誤って別の人にメールを送信してしまうことがあります。例えば、"山田太郎"と"山田次郎"という似た氏名の人物がいる場合や、メールアドレスが "taro.yamada@example.com" と "taro.yamada1@example.com" のように似ている場合が考えられます。

(4)CC(カーボンコピー)とBCC(ブラインドカーボンコピー)の誤用
メールの宛先には、送信先であるTo(宛先)の他にCCとBCCが存在します。CC/BCCはその名前の通り、設定された宛先にメールの複写を送信する役割がありますが、宛先の公開設定が異なります。CCに設定された宛先は全員に公開されるのに対して、BCCに設定された宛先は他の受信者には公開されません。例えば、契約者全員へのお知らせメールにおいて、BCCに宛先を設定して非公開にするべきが、誤ってCCに宛先を設定してしまい、契約者全員のアドレスが公開されてしまうケースが考えられます。

(5)メーリングリストの不適切な設定
企業や組織内でよく利用されるメーリングリスト(複数のメールアドレスを束ねたもの)は、1個のアドレスで複数人に送信することができます。しかし、メーリングリストの設定を間違え、メーリングリストに本来含めるべきではない退職済みの人や第三者を含めてしまい、メール誤送信を起こしてしまうケースがあります。例えば、メーリングリストに取引企業の人を誤って設定してしまい、次期製品に関する企画情報をメーリングリストに送信、取引企業に製品計画が伝わってしまうというケースが考えられます。

(6)ファイルの誤添付
メールにはファイルを添付することができます。この際、添付するファイルを間違えたり、ファイルの中に送信先には関係が無い情報が含まれていることに気づかずに添付してしまうことにより、メール誤送信を起こしてしまうケースがあります。例えば、取引先A社への資料共有の際に、企業機密の情報を削除するはずが、削除を忘れて送信してしまい、機密が漏洩してしまうケースが考えられます。

これら以外にも、操作ミスとして「疲労・焦りによる操作ミス」や「パソコンが重いことによる操作ミス」等も考えられます。メール誤送信の原因となる操作ミスは、ここに記載したように、多岐にわたります。

メール誤送信の対策

ここまで、メール誤送信の原因として操作ミスに着目しました。では、操作ミスに気付くにはどうすれば良いでしょうか? 今回は、操作ミスを「見つける方法」と「見つけるタイミング」に分けて対策案を整理し、メール誤送信を多層的に防ぐ方法を考えてみます。

「見つける方法」

  • 送信者/第三者/システムのそれぞれで、操作ミスを見つけます。

「見つけるタイミング」

  • 送信前/送信後のそれぞれで、操作ミスを見つけます。

「送信前」に「送信者」がチェック

メールの送信前に、送信するメールの設定を確認することで、メール誤送信を防ぐことが期待できます。ここでは、送信者がチェックする誤送信対策案を考えてみます。

・目視チェック

まず、必ず目視チェックすることを心掛けます。送信者自身が送信前にメールをチェックすることによって、誤送信になる可能性を減らす必要があります。また、目視チェックをする習慣を付けることで「いつもよりCCが多い気がする」等、事故発生前の違和感に気付ける機会が増えることも期待できます。

・アドレス帳の利用

メールアドレスを直接入力している場合、入力の過去履歴や自動補完機能から似たアドレスを選んでしまう恐れがあります。これを防ぐには、会社名や氏名とアドレスを紐づけたアドレス帳が効果的です。アドレス帳は氏名からメールアドレスを引用するだけでなく、メールアドレスから氏名を検索することで、送信先が正しいかを確認することもできます。

・アイコンによるチェック

一部のメールクライアントでは、アドレス帳に画像を追加することができます。この機能を利用して、送信先の企業ロゴや顔写真をアドレス帳に登録することにより、送信相手を識別しやすくなり、送信先の選択ミスを減らすことが期待できます。また、メールクライアントと認証基盤が連携する物の中には、メールクライアントが認証基盤から顔写真を自動取得して表示する物もあります。この機能を使わない手はありません。

「送信前」に「システム」がチェック

メールの送信前に、メールを自動チェックするアプリケーションを動かすことで、メールに問題が無いかどうかを網羅的にチェックすることができます。ここでは、送信前のメールをシステムがチェックする誤送信対策案を考えてみます。

・確認ダイアログ

システムが送信前のメールを自動チェックし、送信者に対して自動チェックの結果と合わせて、メール送信前の最終確認を促すダイアログを表示する方法があります。多くのメールクライアントでは、送信先のメールアドレスを一覧で表示し、送信先に過不足が無いか確認を促します。また、送信先が関連会社や取引先であるかを検査したり、添付ファイルの付け忘れが無いかを検査したりと、送信者が見落としがちな項目を検査してくれるメールクライアントもあります。これらの情報を整理して確認ダイアログに表示することにより、送信者に送信前の確認を促すことができます。

・遅延送信

メールを送信した直後に、ファイルの添付忘れに気付いたり、送信先の間違いに気付いたりすることがあります。多くのメールクライアントでは、メールの送信ボタンを押してから、実際に送信するまでを遅らせることができます。私の経験上、送信を遅らせる目安として1分~5分程度がよいと感じております。メールのリアルタイム性は落ちてしまいますが、メール誤送信を水際で防ぐ機会を得ることができます。

「送信後」に「第三者」がチェック

メールは、メール送信者の環境から直接送信先に届くのではなく、メールサーバを経由して送信先に届く仕組みになっています。例えば、会社からメールを送信した場合、会社のメールサーバを経由する設定になっていると思われます。この際、会社のメールサーバで一旦メールを保留して、送信中のメールに問題がないかチェックすることができます。ここでは、第三者がチェックする誤送信対策案を考えてみます。

・第三者承認

例えば、部下が社外宛にメール送信をした場合、上司がその情報を受け取り、メールの社外送信を承認する方法があります。この際、例えば送信先のメールアドレスを上司が確認したり、メール本文や添付ファイルの中身を上司が確認したりすることで、ダブルチェックの効果が期待できます。しかし、社外に送信されるメール全てを第三者がチェックするというのは業務負荷が高く非効率です。第三者承認を実施する場合は、送信先が重要な取引先の場合だけにする等、一部のメールに限定するのが良いでしょう。

「送信後」に「システム」がチェック

メールチェックをするシステムを、会社のメールサーバと連携することで、送信中のメールに問題が無いかどうかを自動的かつ網羅的にチェックすることができます。システムが行うことにより、大量のメールをリアルタイムで処理することが期待できます。ここでは、システムがチェックする誤送信対策案を考えてみます。

・ポリシーによるメールチェック

会社から送信するメールのポリシーを作成して、送信されるメール全てを自動チェックする方法があります。例えば、「契約者全員のメールアドレスを、BCCではなくCCに入れてしまった」という事故の場合、「CCに入るメールアドレスの数に上限を設定する」というポリシーを作成することで、同様の事故を防ぐことが期待できます。ただし、ポリシーに違反したとしても、全てのメールが危険ということではありません。ポリシーが古いままだったり、新規のお客様のポリシーが設定されていなかったりするケース等が考えられるためです。メールがポリシーに違反した場合は、送信者に一旦メールを返却し、確認を促す運用が良いでしょう。

メール誤送信を防ぐには

メール誤送信対策は、対策案を1つだけ選んで使うのではなく、複数を組み合わせて多層的に防ぐのが理想的です。操作ミスはメール送信者だけでなく、メールをチェックする第三者、システムの設定者にも起こりうる話です。だからこそ、多層的に誤送信対策を実施して、メール誤送信が発生する可能性を小さくする必要があります。

余談になりますが、ここまで記載した対策案以外の方法として、クラウドストレージの活用があります。
近年はクラウドストレージの普及により、社外の人とファイル共有を行う機会も増えました。これにより、メールにファイルを直接添付するのではなく、クラウドストレージにファイルを置いてアクセス対象者を管理する誤送信対策も考えられます。クラウドストレージのアクセス権を正しく設定することで、メール誤送信が発生しても第三者の閲覧を防いで被害を抑制することが期待できます。しかし、アクセス権や公開範囲の設定ミスにより、ファイルが全世界に公開されてしまう可能性や、メール本文にあるURLを第三者が入手して情報を盗めてしまう可能性があるなど、メール誤送信とは異なる新しいリスクを考慮する必要があります。

さいごに

メールは広く普及し企業活動の必需品となりましたが、メール誤送信を完全に防ぐ方法は確立されておりません。ですので、まず、メールを送信する私たち1人1人がメール誤送信をしないように注意する必要があります。それでも防げない場合のために、第三者によるチェックや誤送信を軽減するシステムを導入し、多層的にメール誤送信を防ぐことも検討してみましょう。

操作ミスは、いつ・誰にでも起こることです。どんなに忙しくても、いったん立ち止まり、送信先や添付ファイルが間違ってないか、もう一度確認してみてください。落ち着いて確認することで、いつもとは異なる違和感を覚えて、メール誤送信に気付けるかもしれません。本ブログが、皆様や組織のメール誤送信を減らす助けとなれば幸いです。


Causes of Misdirected E-mail and Countermeasures

This article covers Misdirected E-mail which is one of the most typical examples of security incidents. E-mail has become widely used as a necessary item in business scenes, but there are still many Misdirected E-mail. I describe how it occurs and some countermeasures against it below.

Trend of Misdirected E-mail

E-mail is an essential tool in business scenes and used for various purposes and situations such as greetings, reports, announcements, consultation, marketing, negotiation, contract, and so on. Whereas it is useful, it causes Misdirected E-mail once it goes with wrong recipient’s e-mail address or attachment.

Currently Japan is in the following situation. According to the report on incidents related to handling of personal information issued for FY2021 by JIPDEC (Japan Information Processing and Development Center) new window[1], 37.0% of the cause of personal information leakage was Misdirected E-mail. Misdirected E-mail is the most common cause of incidents, and the number has increased by 1.5 times compared to FY2020, so this situation should be taken seriously.

In April 2022, the law of protection of personal information was revised in Japan. Therefore, we have to operate strictly for personal information, for example, it became mandatory to report to the Personal Information Protection Commission and notify the person when personal information leakage occurs.

Misdirected E-mail causes various troubles even after an incident occurs such as damage to the company’s brand and the business opportunity loss. So, the economic burden on the company is huge.

How Misdirected E-mail Occurs

Except for software flaw, Misdirected E-mail is mainly made by operation mistake (human errors). The following are some examples of specific operation mistakes which lead to Misdirected E-mail.

(1)Typographical Error
Some misdirected e-mails can be sent when the recipient’s e-mail address is manually typed and includes wrong letters or numbers. For example, “yamada@example.com” can be wrongly typed as “yadama@example.com.”

(2)Incorrect Input by Autocomplete Function
Autocomplete function is a helpful function that predicts what word comes next from the input information and suggests the candidate words. However, it presents multiple candidate e-mail addresses, so wrong e-mail address can be picked. For example, when you send an email to a person who has a common name such as John, it is easy to make a selection error because there are multiple candidates for names starting with John.

(3)Confusion of Similar Name or e-mail Address
In case people having same names or similar e-mail addresses belong to same company or organization, an e-mail could be accidentally sent to someone who is not supposed to receive. For example, there may be similar names such as “John Smith” and “Jon Smith” or similar e-mail addresses such as “jon.smith@example.com” and “joe.smith@example.com.”

(4)Misuse of CC (Carbon Copy) and BCC (Blind Carbon Copy)
Besides “To (destination)”, there are CC and BCC. When using CC or BCC function, e-mails are sent to selected addresses, but the disclosure settings are different between CC and BCC. While the e-mail addresses set as CC are open to other recipients, e-mail addresses in BCC will not be shown. Therefore, in case there is a notification e-mail to all customers, the e-mail should be sent as BCC to keep the e-mail addresses private, but all the e-mail addresses could be visible to all recipients if the e-mail addresses are accidentally entered in the CC field.

(5)Inappropriate Setting of Mailing List
Mailing list, a list of multiple e-mail addresses, is commonly used in company or organization and enables to send multiple people at one e-mail address. However, Misdirected E-mail may occur, if the mailing list may not be properly set up and include someone who is not supposed to be in such as resigned employees or third parties. Here is an example of Misdirected E-mail in business situations. If an e-mail is sent while business partner’s e-mail address is accidentally included in the mailing list, some confidential information such as plans for next product may be revealed to the business partner.

(6)Incorrect File Attachments
E-mails can be sent with attachments. Misdirected E-mail also occurs when incorrect file is attached or the attachment includes irrelevant information for the recipients. For example, when sharing some documents with Company A, files for Company B is accidentally attached to an e-mail and sent to Company A. In another example, in case there are two types of files for one matter with different contents, one contains confidential information and the other does not. then the file with confidential information is accidentally attached and sent, information that should not be known will be transmitted.

In addition to the examples above, operation mistakes may also happen when it is done with impatience or fatigue, or even when the computer is slow. As has been listed so far, there are many cases of operation mistakes that cause Misdirected E-mail.

Measures against Misdirected E-mail

As mentioned above, Misdirected E-mail is caused by operation mistakes, but how will the operation mistakes be detected? This chapter is about the multitiered countermeasures against Misdirected E-mail from two perspectives, HOW and WHEN to detect the operation mistakes.

[How to Detect]

  • Operation mistakes will be detected by sender, third person (e.g. supervisor), and system.

[When to Detect]

  • Operation mistakes will be detected before and after sending.

Checking by Sender Before Sending

Misdirected E-mail can be avoided by checking the e-mail settings by sender before sent. Some examples of countermeasures are below.

・Check E-mail Addresses by Eye

First, check the Email addresses by eye before you send E-mail. The risk of the Misdirected E-mail should be minimized by sender him/herself by checking the e-mail before sending. By making it a habit, the sender can notice something in the e-mail is wrong in advance, for example, situation that the e-mail has more CCs than usual.

・Using Address Book

When you type the e-mail addresses manually, similar but wrong e-mail address may be selected from past typing history or the autocomplete function. In order to prevent this, e-mail address book that links company, name, and address helps well. Address book enables to confirm the e-mail address by not only finding the e-mail address from the name, but also searching for the name from the e-mail address.

・Checking by Profile Picture

In some e-mail software, you can add the pictures to address book . It will be easier to identify the correct e-mail address and reduce the mistake of selecting the recipient by registering the face photo or company’s logo in the address book. Also, some e-mail software linked with authentication infrastructure can automatically acquire and display the face photo from the authentication infrastructure. There is no reason not to take advantage of it.

Checking by System Before Sending

An automatic e-mail check application will comprehensively check the e-mails for problems before sending. Some example of countermeasures are below.

・Checking with a Confirmation Dialog

There is a feature for the system to automatically check an e-mail before sending and display a dialog which prompts the sender for final confirmation with reviewing the check result. Most e-mail clients display the list of recipient e-mail address and prompt to check if all the e-mail addresses are correct. Some e-mail clients prompt us to confirm some important points by senders, for example, whether the recipient is a business partner or related company, and the file is properly attached. Organizing this information and displaying the confirmation dialog allows senders to make sure the e-mail is ready to be sent.

・Delayed E-mail Transmission Function

It often happens to notice mistakes in attachments and recipient e-mail addresses just after sending. Many e-mail clients have a function that delays the time between pressing the send button and the actual send. As a rough guide, it seems good to delay about 1-5 minutes. It will no longer be real-time e-mail correspondence, but it will prevent Misdirected E-mail at the last minute.

Checking by Third Person After Sending

E-mail is not directly sent from the sender’s environment, but via the e-mail server. For example, when an e-mail is sent from a company, it is delivered via the company’s e-mail server. In this case, the e-mail can be put on hold at the company’s e-mail server for a certain time to see if there is nothing wrong. In below, here is a countermeasure checked by someone other than sender after sending.

・Approval from Third Person

For example, when a subordinate sends an e-mail to an outside company, the supervisor can receive the information and give an approval for the external sending. In this way, the supervisor can double-check the recipients’ e-mail addresses, e-mail text, and the attachment. However, this is not efficient since it is too much work for the supervisor to check all external e-mails. It is better to limit the use of third-person approvals, such as only when the e-mail will be sent to an important sales partner.

Checking by System After Sending

By coordinating an e-mail checking system and the e-mail server of the company, e-mails in transit can be automatically and exhaustively verified to make sure everything is in order. Since this is done by system, a massive amount of e-mail will be processed in real-time. Some examples of countermeasures by system after sending are below.

・Checking by E-mail Policy

There is a way to prevent Misdirected E-mail by creating an e-mail policy and automatically checking all e-mails sent from the company. For example, in the case of an incident in which the e-mail addresses of all customers were put into CC instead of BCC, it will be prevented by creating a policy which sets the maximum number of e-mail addresses that can be included in CC. However, even if the policy is violated, it does not mean that all e-mails have problems because sometimes the policy is not up-to-date or not set up for new customers. If an error is detected by the policy, it is better to return the e-mail to the sender and have it confirmed.

To Prevent Misdirected E-mail

Ideally, instead of using only one countermeasure, Misdirected E-mail should be prevented in multiple layers by combining multiple measures. Operation mistakes can be occurred by not only the sender but also the third person who checks e-mails and the system setter. Therefore, it is necessary to implement the countermeasures in a multi-layered way and to minimize the risk of Misdirected E-mail.

Incidentally, other than the countermeasures above, cloud storage is another option.
In recent years, it has become more familiar to share files with people outside the company as cloud storage has become common. Thereby, instead of attaching files directly to e-mails, uploading files to cloud storage with managing who can access them is another countermeasure. Even if Misdirected E-mail occurs, it can limit the damage because the third-party will not obtain the files by setting the access rights appropriately. However, there are another risk to consider. For example, if the access privileges or disclosure range is set incorrectly, files in the cloud storage can be published to the world. In addition to this risk, if a third party obtains the URL indicating the file location in the e-mail text and accesses it, the information can be stolen.

Conclusion

Although e-mail has come to wide use and become an essential item of business scenes, the perfect method to prevent Misdirected E-mail is not established yet. Therefore, first of all, every single user must use e-mail with special caution. For the cases where this is not enough, third person confirmation or a system for reducing mistakes should be introduced and multi-layered measures should be considered.

Operation mistakes happen to anyone at any time. No matter how busy the situation is, it is important to pause a moment to confirm the e-mail addresses or attachments are correct. By checking calmly, the hints of small differences from usual and mistakes may be noticed. I hope this article helps to prevent Misdirected E-mail for each individual and company.

参考/References:

執筆者プロフィール

山田 英史(やまだ ひでふみ)
セキュリティ技術センター セキュア技術開発グループ

ネットワーク設計やメインフレーム開発を経て、現在はNECグループ社内向けのセキュリティ関連サービスの開発、セキュリティインシデント対応などの業務に従事。

執筆者の他の記事を読む

アクセスランキング