静岡県で、メール送信先を本来の「gmail.com」ではなく「gmai.com」と誤記したまま運用が続き、結果として76人分の個人情報が漏えいしたという報道がありました。入力ミスに見える事案ですが、本質は「存在し得る別ドメイン」に誤送信してしまうドッペルゲンガードメイン(doppelganger domain)のリスクに気づけなかった点にあります。組織のメール運用は“人の注意”に依存しがちですが、今回のように長期間にわたって発覚しないケースは、設計・運用・監査の弱点が重なった結果として捉えるべきです。
ドッペルゲンガードメインとは何か
ドッペルゲンガードメインとは、正規ドメインに似た別ドメイン(例:1文字違い、入れ替え、欠落、TLD違いなど)を指します。タイポスクワッティング(typosquatting)とも関連し、第三者が悪意をもって取得・運用することもあれば、偶然すでに運用されている場合もあります。
「gmail.com」と「gmai.com」は文字列が非常に近く、視認性も高くありません。メールアドレスは入力や転記、アドレス帳登録、テンプレート運用など複数の経路を通じて固定化されるため、初期の誤りが気づかれないまま“正しいもの”として運用に組み込まれると、被害は継続的に発生します。
なぜ2年半も気づけなかったのか
今回のような長期化には、複数の要因が考えられます。
エラーメールが返らない
宛先ドメインが実在しメール受信が成立すると、送信側は「送れた」と判断します。存在しないドメインであればDNS解決失敗などで即座にバウンスが返りますが、実在ドメインの場合は正常配送として扱われ、発見が遅れます。
メール送信の確認手順が形式化している
個人情報を含むメール送信では、宛先確認(To/Cc/Bcc)、添付ファイル、本文の個人情報有無などのチェックリストを用意する組織が多い一方で、「ドメインの綴り」まで機械的に検証する仕組みは導入されていないことが少なくありません。人的確認のみでは、慣れや思い込みによりミスがすり抜けます。
監査・ログ分析が“送信成功”で止まる
メールゲートウェイやクラウドメールには送信ログが残りますが、監査の観点が「大量送信」「外部宛て」「添付の有無」といった条件に偏ると、1文字違いのドメインに対する継続送信は異常として検知されない可能性があります。
影響:個人情報漏えいと二次被害の現実
漏えいした情報が何であれ、外部の第三者が受信していた場合、以下のような二次被害が起こり得ます。
- なりすまし・詐欺:受信内容を基に、本人や行政を装ったメールや電話が行われる
- ソーシャルエンジニアリング:関係者名や手続き内容を材料に追加情報を引き出される
- 標的型攻撃の足掛かり:内部手続きや担当部署の把握により、より精巧な攻撃に発展
行政は住民情報や申請情報など、機微性の高いデータを扱うため、誤送信が単発であっても影響は小さくありません。さらに「繰り返し送信されていた」場合、受信側が悪意を持つ第三者でなくても、情報は蓄積され、後から悪用される余地が増します。
組織が取るべき再発防止策
再発防止は「注意喚起」だけでは不十分です。技術的・手続き的・教育的対策を重ね、ミスが起きても漏えいに至りにくい設計にする必要があります。
送信前の宛先制御(許可リスト・ドメイン制限)
個人情報を扱う部門では、外部宛メール送信を許可リスト(allowlist)で制御し、特定ドメイン以外への送信を原則ブロックする運用が有効です。どうしても外部宛が必要な場合は、申請・承認フローを組み合わせます。
ドメイン類似判定(typo検知)の自動化
メールゲートウェイやDLP(Data Loss Prevention)で、組織が頻繁に使う外部ドメイン(例:gmail.com、yahoo.co.jp等)に対し、1文字違い・欠落・入れ替えなどの類似ドメインへの送信を検知し、警告または保留する仕組みを導入します。これは“人の目”よりも再現性が高く、長期潜伏型の誤送信を抑止できます。
送信保留(ディレイ送信)と取り消し猶予
外部宛や個人情報を含むメールに対し、数分〜数十分の送信保留を設定し、送信者が気づいた際に取り消せるようにします。即時の漏えいリスクを下げる実務的な対策です。
添付ファイルの暗号化より“共有リンク+権限制御”
従来のZIP暗号化(いわゆるPPAP)は、誤送信自体を防げません。代替として、クラウドストレージの共有リンクを使い、アクセス権・有効期限・ダウンロード制限・監査ログを設定する方式が望ましいです。誤送信が起きても、後からアクセス遮断できる可能性が高まります。
アドレス帳・テンプレートのガバナンス
ミスが定着する典型は、誤ったアドレスがアドレス帳、メールテンプレート、マクロ、業務システムの通知設定などに登録されることです。登録・更新の権限管理、定期棚卸し(年1回など)、変更時のレビューを制度化してください。
ログの継続監視と“異常の定義”の見直し
送信ログを集約し、外部宛ドメインのランキング、急増する宛先、見慣れないドメインへの継続送信などを可視化します。特に「よく使う正規ドメインに似た宛先」は、ルールベースでも検知可能です。発覚が遅れるほど被害が積み上がるため、早期検知の体制づくりが重要です。
個人の注意喚起に終わらせない
今回の事案は、単なるタイプミスではなく、「誤りが成立してしまうインターネットの構造」と「それを前提にしていない運用」が交差した結果です。再発防止のポイントは、ミスをゼロにすることではなく、ミスが起きても漏えいに至りにくい設計に変えること、そして早期に検知して止める仕組みを持つことです。行政・企業を問わず、外部メールに個人情報を載せる運用を続ける限り、同種のリスクは残り続けます。今こそ、宛先制御・類似ドメイン検知・共有基盤の見直しをセットで進め、誤送信を“個人の不注意”から“組織の管理課題”へと位置づけ直すべきでしょう。
参照:
「gmail」ではなく「gmai」に…静岡県が2年半メール誤送信、76人分の個人情報漏えい 「ドッペルゲンガードメイン」気づかず – 静岡新聞DIGITAL