FAXの誤送信から始まったITベンチャーの悲運と逆転劇：萩原栄幸の情報セキュリティ相談室（1/2 ページ）

単に「FAXの誤送信対策をしたい」という相談の背景には、恐るべき事実が隠されていた。逆転の発想で緊急事態を回避したその対応策とは……。

[萩原栄幸，ITmedia]

　東京・大田区のITベンチャー企業A社の総務部長から連絡が入った。伺ってみると、FAXを誤送信してしまったので、その対策を専門家から指導してほしいということだった。

　本来なら情報セキュリティ全般を強化すべきであり、筆者はこの点だけを取り上げてもほとんど改善にならないし、パッチワーク的な作業になるだろうと難色を示した。しかし、まだ準備がまだできておらず、次年度はきちんと予算計上して取り組みたいということなので、取りあえずそこを優先して作業することにした。現状分析に半日、実態に即した対応策と改善策の実施に半日の合計1日の作業として引き受けた。

（編集部より：本稿で取り上げる内容は実際の事案を参考に、一部をデフォルメしています。）

事例

　さて、日程を決めて本社を訪問した。A社は従業員22人でビルの1フロアを賃貸していた。肝心のFAXは、そのフロアに2台設置されていた。1台はいわゆる複合機で、もう1台はFAX専用機だった。こうした使い方は、22名という従業員数としては適切だと判断した。

事案：A社はFAX送信の際に番号入力を誤り、「お客様に多大なご迷惑をかけた」という。ただし、従業員が22人ということもあり、情報セキュリティ全般の改善策は現状ではお金も人も無い。そこで「FAXの誤送信」という個別具体的な対応策にしぼって取りあえず対応したいというものである。

回答

　情報セキュリティ強化の支援を1日契約で行うというのは、あまり例のない仕事だった。それでもセキュリティの強化につながると考え、まずは数時間程度、FAX機周辺の作業について観察した。また、その間に就業規則や契約書などのさまざまな書類について、情報セキュリティの観点から問題などを分析した。

　「世の中のほとんどの中小企業がこういう状況だろう」と想定される問題点は、A社からも山のように出てきた。FAX操作における規則などは、当然ながら全く無かった。受信したFAXも、担当者が紙を取りに来るまでいつまでたっても放置されていた。社内で印刷した紙も同様である。

　その中で、社長の周囲と今回の作業を依頼した総務部長の動きに不自然な点がみられた。筆者は作業に専念したかったのだが、どうにも不自然なので思い余って社長に個人面談を依頼した。意外にもすぐにOKの返事があり、応接室兼会議室で2人きりで面談した。今回の作業が1日だけであること、また、筆者の感じた不自然な点について追及したところ、社長がこう切り出したのである。

「実は、1週間ほど前にB課長がお得意先にFAXを送付しました。通常ならメールだと思いますけど、“アングラ”系雑誌の数ページを全部送付するので、メールより簡単なFAXを使ったと言うのです。彼は『スキャンすればよかった』と悔やんでいました」

　その結果、どうやら電話番号の最後の2けたを本来は「63」と入力すべきだったが、「36」と打ち込んでしまったらしい。番号を確認しないままに送信したという。テンキーで「3」と「6」は、ちょうど上下の位置関係にあり、うっかり逆に入力したようだ。

　その話を伺い、筆者は社長に「それなら22人の社員に注意喚起するだけで済んだはずです」と伝えた。ところが、社長が言うには、「その後が大変でして……。間違って送信した先は、偶然にも有名な暴力団関係者の組織だったのです」とのことだった。

　社長は続けて、「しかも、B課長が送信した内容はお客様に依頼されたもので、ある認証を迂回するための作業方法の手順や不法ソフトを入手するやり方だったのです。当然ながら、お客様の社名、部署、個人名、電話番号も記載していました。B課長はお得意先（しかもA社とって最大級の得意先）の役員から接待時に頼まれたそうで……」と話した。

　お得意先の役員がB課長に頼んだこととは、市販のブルーレイソフトやDVDのコピーガードの外し方と不正にコピーを行う方法、そして、マイクロソフトのWindows 8やOfficeソフトの「アクティベーション」認証を迂回する手口だったという。