Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

同報配信システムで「CC」初期化されず誤送信に - 京大

京都大学は、データベースをもとに複数組織へメールを送信するシステムに不具合があり、受信者とは無関係のメールアドレスが「CC」に設定され、送信されたことを明らかにした。

同大学生総合支援センターでは、合同企業説明会に参加したり、同大からの情報提供を希望する企業の担当者742人に対し、4月20日に「2021 京都大学夏のキャリアフォーラム」を案内するメールを送信したが、システムの不具合により、658人に対するメールの「CC」欄に、1件から最大で16件の関係ない他企業のメールアドレスが設定されたという。

送信したメールには、本来の宛先である企業担当者の氏名、所属する企業および部署、メールアドレスのほか、「CC」欄に無関係のメールアドレスが記載されており、メールの受信者よって参照できる状態となった。

問題のシステムは、2021年3月に導入したもので、データベースにおいて送信対象企業のメールアドレスが複数登録されている場合は、1件目を「TO」、2件目以降を「CC」に設定し、メール送信のライブラリを用いて送信するしくみだという。

しかし、データベースにある複数の企業に対してメールを順次送信する場合、送信先の企業を変更しても「CC」の内容が初期化されず、あらたな「CC」の内容がそのまま追加、蓄積されていく状態だった。

同センターでは、不具合が発生した同日以降、関係者に対しメールで原因調査中であることを説明し、メールの削除を依頼していたが、6月23日にあらためて経緯や原因、再発防止策などを説明し、謝罪した。今後イベントの開催案内を行う場合は、本文に個人情報を記載せず、BCCを用いて送信するという。

(Security NEXT - 2021/08/03 ) このエントリーをはてなブックマークに追加

PR

関連記事

案内メール誤送信で会員のメアド流出 - 生活クラブ生協
個人情報含む社内向けテストメールを外部へ誤送信 - M&Aクラウド
シンポジウム案内メール誤送信、メアド流出 - 会津若松市
メール「CC」送信で会員企業のメアド流出 - いばらき量子線利活用協議会
法人カード利用企業の情報をメールで誤送信 - UPSIDER
メール誤送信で歴史ツアー参加者のメアド流出 - 横須賀市観光協会
廃棄物運搬事業者への事務連絡メールで誤送信 - 横須賀市
保育施設運営事業者へのメールで誤送信、メアド流出 - 大阪市
文化振興財団においてメールの誤送信が発生 - 豊田市
メール誤送信でファンクラブ会員のメアド流出 - クリアソン新宿