東京理科大学において、フィッシングにより教員や学生が利用するクラウドサービスのアカウントが乗っ取られたことがわかった。メールが不正に転送されたほか、メールボックスやクラウドストレージがアクセスを受けた可能性もある。
同大によれば、教員4人、学生4人がフィッシングサイトへ誘導されて誤ってパスワードを入力してしまい、クラウドサービス「Office 365」のアカウントが乗っ取られていたことが2018年11月6日に判明したもの。
10月30日ごろより、同大の教職員や学生、卒業生に多数のフィッシングメールが届きはじめたことから、調査を進めていたところ被害が判明したという。
今回の乗っ取りにより、2018年9月11日から同年11月6日にかけて教員や学生が受信した3727件のメールが外部へ意図せず転送されていた。
不正に転送されたメールには、教職員621人と学生252人の氏名やメールアドレス、携帯番号、学籍番号、職員番号のほか、学外関係者2665人の氏名やメールアドレス、企業名、学校名、携帯番号などが記載されていた。さらに学内外のいずれも、一部に機微な個人情報が含まれるという。転送されたメールに知的財産といった機密情報、研究情報などは確認されていない。さらにクラウドサービスのアカウントが侵害された場合、転送設定の操作に限らず、メールボックスに保存された過去の送受信メールや、クラウドストレージ上のデータに対してもアクセスが可能となる場合があるが、同大は「技術的な確認が困難」と説明。典型的な被害として転送について報告したが、それ以外のデータについても流出した可能性は否定できないとしている。同大では、対象となる関係者に事情を報告し、謝罪した。二次被害などは確認されていない。今回の問題を受けて全教職員のアカウントにおいて転送機能を停止し、パスワードの変更を実施。教職員と在学生のメールシステムに多要素認証を導入するなど対策を講じた。