「gmail.com」を「gmai.com」と誤記したまま運用が続き、個人情報が外部へ送信される事案が報じられました。これは単なるタイプミスではなく、正規ドメインに酷似した“実在し得る別ドメイン”へ送れてしまう点が本質です。情シスとしては、注意喚起だけで防げない設計上のリスクとして捉える必要があります。
メールアドレスはアドレス帳、テンプレート、業務システム設定などに一度登録されると固定化します。初期の誤りが「正」として流通すると、誤送信が継続し、被害が積み上がります。類似ドメインは悪意の取得(タイポスクワッティング)だけでなく、偶然運用されている場合もあるため、常に起こり得る前提で対策が必要です。
実在ドメイン宛てはバウンスが返らず、送信ログ上も「成功」に見えます。その結果、送信者は誤りに気づきにくく、管理側も異常として拾えません。さらに宛先確認がチェックリスト化していても、ドメイン綴りの機械的検証がないと、慣れや思い込みで見落とします。
監査やログ分析が「外部宛」「添付あり」「大量送信」などの条件に偏ると、1文字違いの宛先へ継続送信するケースは埋もれがちです。メール運用は“間違いが成立する”インターネット構造の上にあるため、送信成功=適切な宛先とは限らない、という前提に改めるべきです。
漏えいが発生すると、なりすまし、詐欺、ソーシャルエンジニアリング、標的型攻撃の足掛かりに利用され得ます。受信側が直ちに悪用しなくても、情報が蓄積されるほど将来の悪用余地が増えます。個人情報や取引情報を扱う企業では、単発よりも「継続して漏れている」状態が最も危険です。
したがって、再発防止の目的は「ミスをゼロ」にすることではなく、ミスが起きても漏えいしにくくし、早期に検知して止めることです。情シスは、人的運用の限界を前提に、統制と自動化の組み合わせでリスクを下げる設計へ移行させる必要があります。
第一に、外部宛送信の宛先制御です。個人情報を扱う部門は許可リスト(allowlist)やドメイン制限を基本とし、例外は申請・承認で通す運用にします。第二に、類似ドメイン(1文字違い、欠落、入れ替えなど)への送信をゲートウェイやDLPで検知し、警告・保留・ブロックする仕組みを入れます。
加えて、外部宛のディレイ送信で取り消し猶予を設け、事故時の即時流出を抑えます。添付運用はPPAPに依存せず、共有リンク+権限制御(有効期限、ダウンロード制限、監査ログ)へ移行すると、誤送信後も遮断できる可能性が高まります。最後に、アドレス帳・テンプレート・システム通知設定の棚卸しと、送信ログの継続監視(見慣れないドメインや類似ドメインの継続送信の可視化)を制度化してください。
