事故から学ぶ

教員や学生の「Office 365」アカウントが乗っ取り被害 – 東京理科大

事故概要

業種 大学
発生時期 2018/9/11-2018/11/6
漏えい人数 3,727人
事故概要

東京理科大学において、フィッシングにより教員や学生が利用するクラウドサービスのアカウントが乗っ取られたことがわかった。メールが不正に転送されたほか、メールボックスやクラウドストレージがアクセスを受けた可能性もある。
同大によれば、教員4人、学生4人がフィッシングサイトへ誘導されて誤ってパスワードを入力してしまい、クラウドサービス「Office 365」のアカウントが乗っ取られていたことが2018年11月6日に判明したもの。
10月30日ごろより、同大の教職員や学生、卒業生に多数のフィッシングメールが届きはじめたことから、調査を進めていたところ被害が判明したという。
今回の乗っ取りにより、2018年9月11日から同年11月6日にかけて教員や学生が受信した3727件のメールが外部へ意図せず転送されていた。
不正に転送されたメールには、教職員621人と学生252人の氏名やメールアドレス、携帯番号、学籍番号、職員番号のほか、学外関係者2665人の氏名やメールアドレス、企業名、学校名、携帯番号などが記載されていた。さらに学内外のいずれも、一部に機微な個人情報が含まれるという。転送されたメールに知的財産といった機密情報、研究情報などは確認されていない。さらにクラウドサービスのアカウントが侵害された場合、転送設定の操作に限らず、メールボックスに保存された過去の送受信メールや、クラウドストレージ上のデータに対してもアクセスが可能となる場合があるが、同大は「技術的な確認が困難」と説明。典型的な被害として転送について報告したが、それ以外のデータについても流出した可能性は否定できないとしている。同大では、対象となる関係者に事情を報告し、謝罪した。二次被害などは確認されていない。今回の問題を受けて全教職員のアカウントにおいて転送機能を停止し、パスワードの変更を実施。教職員と在学生のメールシステムに多要素認証を導入するなど対策を講じた。

引用元 東京理科大学

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
20-5 (第20条)安全管理措置 “パソコン利用教育(メール受信ルール)

チェックリストにある要求ルール:

受信した不審な電子メールや、メール添付ファイルを安易に開いたり本文中のリンクを安易に参照したりしないようにしていますか?
見知らぬ人から送られてくる電子メールを介したウイルス感染の事例をよく研究し、社内での注意喚起を行っていますか?

■ 推奨対策

対策:

安全標語

添付ファイル安全確認よし!

今回のケースは、複数の人間がフィッシングサイトに引っ掛かったということで、相手の巧妙さと校内利用者の教育不足が重なり、比較的長期にわたり情報が漏えいし続けてしまった不幸な事件である。

具体例:

不審なメールが届くようになった時点で漏えいを疑う必要がある。この時点でセキュリテの専門家などに相談しておけば、まず何をすべきかの指示が得られ、漏えい対策の立ち上がりも早かったと思われる。漏えいの元になる穴を塞ぐのは原因特定に時間がかかるが、今回の場合はメール転送機能を悪用されたので、メールの送信ログを確認する習慣さえあれば、より発見は早かったと推測される。意図せずにメール送信される、あるいは送信相手先に見慣れぬ人がいる、などの発見は専門知識も不要、個人でできる対策なので、確認はぜひ身につけて欲しい。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。