情シス涙！パスワードの使い回し､メールの誤送信､デバイス紛失､“サイバー攻撃”まさかの原因は｢社員のうっかり｣連発

システムやアプリケーションが増えるほどパスワード管理が煩雑になることが原因です。そのため、従業員は忘れにくい文字列や以前から使っているのでなじみがあるパスワードをうっかり使い回してしまうのです。

とくに、個人のSNSアカウントと業務用の社内アカウントのパスワードが重複しているケースは、危険性が高いので注意が必要です。社員が私的に利用している動画配信サイトから情報が漏洩し、その流出パスワードを悪用した攻撃者により、社内ネットワークへ侵入される被害が発生したこともあります。攻撃者は社員の認証情報をもとに、部署ごとのファイルサーバに次々とアクセスし、機密データを抜き出していったのです。

また、一部の組織ではパスワードポリシーが形骸化し、社員が同じ文字列を何度も再設定し続けることもあります。過去に漏洩したデータと照合されるリスト型攻撃（パスワードリスト攻撃）の手口は年々巧妙化し、複数サイトで使い回しをしていると一気に被害が拡大します。

対策としては、多要素認証（MFA）の導入や、企業提供のパスワード管理ツールの活用が有効です。MFAを実装すると、万が一パスワードを盗まれてもスマートフォンアプリや指紋など別の認証要素を突破されない限り不正ログインは難しくなります。

パスワード管理ツールを導入し、社員が複雑かつ一意のパスワードを自動生成できる環境を整えることも肝心です。さらに、定期的に漏洩情報と社内アカウントを照合し、「すでに流出リストに含まれていないか」を確認する仕組みを整えることもいち早くリスクを見つけるためにも重要です。

一瞬の油断が命取り！メールの誤送信

メールの誤送信も些細な操作ミスが重大な顧客情報流出につながりかねない典型的なヒューマンエラーです。宛先を間違えて送信してしまう事例はもちろん、急ぎの連絡でファイルを添付する際に別の書類を付けてしまうケースも後を絶ちません。

2021年には、ある地方自治体がメールの誤送信により新型コロナウイルス感染症陽性者に関する約9500人分の個人情報が外部に漏洩したことを公表しました。