So-net無料ブログ作成

メーリングリストからの情報漏えいに注意~裁判資料漏えい事故から学ぶ [情報漏洩]

 2011年12月末、メーリングリストの設定ミスにより、個人情報を含む裁判資料や裁判員候補者名簿がネット上に流出していたことが明らかになった。また、この件を受けて日本弁護士連合会が調査を行ったところ、県弁護士会執行部のメーリングリストから、会員弁護士への苦情を申し立てた人の個人情報が流出していたこともわかった。漏えいの原因と、漏えいさせないための対策をまとめた。

■メーリングリストとは

 メーリングリストはメールを使って情報交換を行うためのシステムで、参加者が専用アドレスにメールを送る(投稿する)と、参加者全員にそのメールが配信される。配信されたメールに返信すると、そのメールも参加者全員に配信される。同じ趣味を持つ人が集まって情報交換をしたり、自由におしゃべりを楽しんだりするようなオープンなメーリングリストや、サークルのメンバーに活動予定を知らせる、仕事の情報を共有するなどの目的で、参加者を限定して運営されているメーリングリストもある。

 メーリングリストに投稿されたメールは多くの場合、参加者に配信されるだけでなく、アーカイブとして保存・公開される。アーカイブは、誰でも読める状態にもでき、メーリングリスト参加者のみが読めるようにしたり、管理者だけが読めるようにしたりすることもできる。

 また、メーリングリストは、管理者からの「お知らせ」を流すのみの一方向な使い方もできる。投稿できる人を管理者のみに制限すると、参加者はメールを受け取ったりアーカイブを閲覧したりすることはできるが、自分から情報を発信することはできない。このため、管理者が配信するメールマガジンを受け取るのと同じ状態となる。

 今回、情報漏えいが明らかになった2つのケースは、どちらもある無料サービスを利用してメーリングリストを開設・運営しており、アーカイブを「掲示板」の形で保存、公開できるようになっていた。

■メーリングリストから情報が流出した原因

 2件とも、漏えいの直接の原因は、メーリングリスト管理人の設定ミスだった。

 裁判資料や裁判員候補者名簿が流出したケースでは、問題のメーリングリストに参加者の制限がかけられていなかった。このため、何らかの方法でこのメーリングリストを発見した第三者が勝手に登録・参加して、弁護士や事務担当者がやり取りした情報のアーカイブを閲覧できる状態となっていた。時事通信によると、弁護士の所属する法律事務所とは無関係のメールアドレスが10個前後、メーリングリストに登録されていたという。

 もう1件、苦情申立人の情報が流出したケースでは、担当者が年度ごとにメーリングリストを新しく作成して利用していたが、2008年度と2010年度のアーカイブに閲覧制限がかかっておらず、誰でも情報を閲覧することができる状態となっていた。

 またこれらのケースでは、設定ミスのほかにもうひとつ問題がある。メーリングリストのシステムでは、通常のメールでのやり取りと同様に、データが平文(暗号化されていない状態)で流れている。このため、通信を盗聴されると、メールの中身を簡単に第三者に見られてしまう。絶対に他人に見られてはいけない業務情報を受け渡す場合は、メーリングリストを使うのは望ましくない、ということに留意したい。

■漏えい対策~「参加者制限」「アーカイブ閲覧制限」および投稿内容に注意

 第三者に見られたくない内容を扱うメーリングリストを開設する際は、「参加者の制限」と「アーカイブ閲覧の制限」をしっかりと行いたい。今回取り上げた2つのケースでは、どちらも複数のメーリングリストを使って業務上の情報をやり取りしていたが、制限を正しくかけたメーリングリストと、かけていなかったメーリングリストが混在していたことがわかっている。うっかりミスに十分注意していただきたい。

 さらにメーリングリストの管理者と参加者は、上に書いたように、メーリングリストへの投稿内容が平文で流れていることを理解しておこう。絶対に漏れてはいけないデータのやり取りにメーリングリストを使ってはいけない。

 不特定多数の人が利用できるメーリングリストに参加するときは、投稿内容に個人を特定できるような情報が含まれないよう気を付けよう。どのように悪用されるかわからない。自分が参加しているメーリングリストについて、アーカイブの公開範囲を確かめておくこともお薦めしたい。過去の投稿内容が第三者から丸見えになっているかもしれない。

 また、メーリングリストを管理者からの情報発信のみに利用しているケースで、本来受け付けないはずの参加者からの投稿が何らかの原因で受け付けられてしまい、メーリングリストに流れる事故が、ときどき起きている。メーリングリストの管理者は今一度、そのあたりの設定を確認しておくことをお勧めする。

(2012/01/10 セキュリティ通信)

【関連URL】
・新着情報2011/12/28(岐阜県弁護士会)
http://www.gifuben.org/gifuben/topics/getTopicsAllList.do?startNo=0
・お詫びとご報告(2012年1月6日)(北千住パブリック法律事務所)
http://www.kp-law.jp/information/news/201201/571