止まらない共有スパムにどう向き合うか：ゼロトラスト型コラボレーション防御の実装

外部共有機能は本来、生産性を上げるための仕組みです。しかし、未知送信者からの共有スパムが継続的に届く状態は、単なる迷惑問題ではありません。日常業務フローにソーシャルエンジニアリング経路が埋め込まれている、という設計上の警告です。

なぜ共有スパムが成立するのか

攻撃側は、次の“普通さ”を利用します。

• 共有通知を普段から受け取っている
• 通知UIが正規利用と見分けにくい
• テナント間共有が初期設定で広く許可されている

結果として、ユーザーは「また共有が来た」と判断し、危険リンクでも反射的に開きやすくなります。

初動72時間でやるべき封じ込め

1. 通知に「未知の外部送信者」ラベルを強制表示
2. 初回外部送信者は隔離キューへ入れて審査後に解放
3. 繰り返し悪用パターン（ドメイン/ハッシュ/挙動）を自動抑止
4. ワンクリック通報→SOC自動連携の短経路化

この段階では完璧判定より、抑止速度を優先します。

30〜90日で進める構造改善

ID信頼性の強化

• 送信元の検証情報（ドメイン正当性、テナント評判）を評価
• 弱認証共有を縮小
• 異常共有挙動には段階的チャレンジを適用

権限モデルの再設計

• “共有許可がデフォルト”を廃止し、ポリシー適合時のみ許可
• 外部共有時に業務目的メタデータを必須化
• 低信頼共有は自動期限切れ

コンテンツ起点の防御

• ファイル種別と挙動でリスク分類
• 疑わしいファイルはサンドボックス検査後に公開
• 検知結果をテナント単位の抑止ルールへ還元

セキュリティだけでは完結しない

利用者が判断できないUIでは、統制は機能しません。

• 通知に送信元由来を明確表示
• 「閲覧依頼」と「検証済み社内共有」を文言で分離
• ブロック理由と解除条件を説明可能にする

UX改善は防御性能そのものです。

運用で追うべき指標

• 1,000ユーザーあたりの未知外部共有件数
• 初回通報から抑止までの中央値
• 隔離誤判定率
• 未知外部共有のクリック率

件数削減だけでなく、危険操作率を下げられているかを見ます。

結論

共有スパムは、コラボレーション基盤の“信頼デフォルト”が時代遅れであるサインです。ID起点、ポリシー起点、UX起点の3層で再設計できる組織ほど、攻撃面積と現場疲弊を同時に減らせます。