宮崎県延岡市は、職員が個人情報を含む業務データを別の職員へメール送信した際、関係ない第三者に送信するミスがあったことを明らかにした。
同市によれば、2022年5月10日17時過ぎに同市職員が、業務で用いる表計算ファイルを、新型コロナウイルス感染症の濃厚接触者となり、自宅待機する別の職員へメールで送信しようとしたところ、第三者のメールアドレスへ誤送信するミスが発生したもの。
同ファイルには、新型コロナワクチン接種の国補助事業の支払いに関するデータが記録されており、関連業務を行った個人や法人の名称、住所、支払金額など138件の情報が含まれる。ファイルにパスワードなどは設定されていなかった。
自宅待機していた職員は、5月10日に提出期限の書類が未提出であるとの連絡を受け、自宅のパソコンで提出書類を作成しようと、私的に利用するフリーメールのメールアドレスへデータ送信を別の職員に依頼。
依頼を受けた職員が応じてデータを送信したところ、メールアドレスの入力を誤り、関係ない第三者へ送信してしまったという。
56.89% 世界の総オンライントラフィックに占めるモバイルインターネットトラフィックの割合
リモートワークの導入でモバイルデバイスの活用形態は急速に変化しましたが、モバイルデバイスをリスクベクターとして認識することは、ほとんどの顧客にとってより緩やかなものでした。実際、Gartner 社によると、現在モバイル脅威検出ソリューションを採用している顧客はわずか 30%にすぎません。 多くの企業は、UEMソリューションがセキュリティを提供してくれる、あるいはiOSデバイスはすでに十分安全であると思い込んでいるのです。最も衝撃的なのは、歴史的にモバイルに対する攻撃を見たことがないので、心配する必要はないというものです。 このような考え方からすると、ハッカーが主要な攻撃経路として、またユーザー認証情報を取得するための侵入口として、モバイルに焦点を合わせていることは、これまた不思議なことではありません。
このような考え方から見えてくるのは、規模や業種に関係なく、多くの組織がモバイルデバイスは重大なリスクをもたらさない、したがってデータセキュリティやコンプライアンス戦略において考慮する必要はないと考えている、ある種の甘さです。
アンチマルウェアがインストールされていないノートパソコンを従業員に支給する企業は一つもありませんが、ほとんどのモバイルデバイスにはそのような保護が施されていません。 その主な理由は、組織がモバイル・デバイス管理をモバイル・エンドポイント・セキュリティと同じだと考えているためです。 デバイス管理ツールは、デバイスをロックしたりワイプしたりすることはできますが、脅威をプロアクティブに検知するために必要な機能の大部分は備えていません。モバイルフィッシング、悪意のあるネットワーク接続、Pegasusのような高度な監視ソフトウェアなどの脅威を可視化できなければ、デバイス管理は真のモバイルセキュリティに必要な機能を提供するには程遠いものとなってしまいます。
サイバーセキュリティのプロでさえ、モバイルにおけるサイバー攻撃の現実を見落とすことがあります。 最近のブログ「5 Endpoint Attacks Your Antivirus Won't Catch」では、ルートキットやランサムウェアがモバイルでも同様に発生するにもかかわらず、全体のストーリーは従来のエンドポイントへの影響に独占されていました。
モバイルOS(iOS/Android)と従来のエンドポイントOS(Mac、Windows、Linuxなど)の間には、アーキテクチャ上の違いが存在するため、その保護方法も大きく異なっています。 このような違いにより、モバイル向けに設計されていない従来のエンドポイントセキュリティツールでは、適切なレベルの保護を提供することができません。
これは、Carbon Black、SentinelOne、Crowdstrikeといった大手EPP/EDRベンダーについて語る際に、特に言えることです。 これらのベンダーの中核機能は従来のエンドポイント専用ですが、モバイルセキュリティの要素をソリューションに取り入れることがトレンドとなっています。 戦略的なパートナーシップも生まれており、顧客がベンダーの統合を検討していることから、モバイル・セキュリティと従来のエンドポイント・セキュリティのエコシステムは今後も統合されていくと予想されます。
さらに、ユーザーがスマートフォンやタブレット端末を操作する際には、これらのデバイスに特有の方法が非常に多く存在することも挙げられます。例えば、メールゲートウェイソリューションでは、SMSやQRコード経由で配信されるフィッシング攻撃から保護することはできません。また、OSの脆弱性が指摘され、すぐにパッチを適用する必要があるデバイスを、管理・非管理を問わずすべて特定することができますか? また、あるエンジニアが喫茶店で悪意のあるWiFiネットワークに接続し、中間者攻撃の犠牲になっていませんか? これらは、モバイル端末の保護に特化したモバイルエンドポイントセキュリティツールによってのみ軽減できる脅威や脆弱性のほんの一例に過ぎないのです。
リモートワークが加速し、「常時接続」の生産性が求められるようになったことで、従業員が仕事を遂行するために使用するデバイスの好みが変化しています。 仕事に関するほぼすべてのアプリケーションがクラウド上に存在するという事実は、ビジネスの進め方を変えました。 モバイルへの移行はすでに始まっているのです。企業はこの事実を認識し、モバイル・デバイスを含むエンドポイント・セキュリティの姿勢を更新する時期が来ていると言えます。
出典:Endpoint security and remote work
静岡県は2022年5月23日、県産農林水産物を使った加工品を表彰する「ふじのくに新商品セレクション」の受賞経験者に電子メールを送信した際に、個人情報を漏えいしたと発表した。 県によると、経済産業部マーケティング課の職員が4月20日、過去に受賞した事業者の依頼に応じ、2010~21年度の受賞商品の一覧データを送信した。本来は非公表とすべき119事業者の担当者名とメールアドレスを同時に送った。
別の職員が5月19日、誤送信に気付き、該当する事業者に謝罪。送信先に依頼してデータを削除した。県は今後、送信時に複数の職員で確認を徹底するなど再発防止策を講じる。
