事故から学ぶ

TOP > 事故から学ぶ > パスワードは類推しにくいものに、至急変更させる > 不正アクセスによるスパムメールの送信および個人情報漏洩の可能性、お茶の水女子大

2019/07/16

不正アクセスによるスパムメールの送信および個人情報漏洩の可能性、お茶の水女子大

事故概要

業種	国立大学法人お茶の水女子大学
発生時期	2019/05/29～06/3
漏えい人数	361人
事故概要	お茶の水女子大学の大学教員1名のメールパスワードが窃取され、不正アクセスを受ける事案が発生した。パスワード窃取からアカウントを停止するまでの間、主にフリーアドレスを対象に多数のスパムメールが送信され、また、攻撃者が当該教員のメールボックスにログイン可能であったことから、保存されていたメールが攻撃者に閲覧された可能性があるとしている。東北工業大学で同時期に同様の手口で個人情報漏えいが発生しているので、不正アクセスの手法が共有化されたか、同一犯の可能性もある。なお、個人情報漏洩の二次被害は確認されていない。本学教員からシステム担当者に、送信した覚えのないメールの配信エラーが届くとの問い合わせがあり、スパムメール送信の踏み台とされていることが確認されたもの。すぐに当該教員のメールアカウントを停止したが、不正アクセスが始まった5月29日からアカウント停止までの間、メールボックスに残っていた1か月分のメールについて攻撃者に閲覧された可能性がある。攻撃者に閲覧された可能性のある情報は次の通り (1) 送信されたスパムメール数 2,215件 (2) 攻撃者が閲覧できた期間 2019年5月29日～6月3日 (3) 攻撃者に閲覧された可能性のあるメール件数学内関係者：245件 (4) そのうち個人情報が含まれるもの学内教職員の氏名、所属、メールアドレス（一部、電話番号等の情報含む）：62件学内学生の氏名、所属、メールアドレス（一部、電話番号等の情報含む）：88件学外者の氏名、所属、メールアドレス（一部、電話番号等の情報含む）：77件 3．対応状況個人情報が漏洩した可能性のある方へは、文書にて状況説明と謝罪の連絡し、また、教職員に対し個人情報の管理及び情報セキュリティ対策についての指導を徹底するとしている。
引用元	国立大学法人お茶の水女子大学

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード：
20-7 （第20条）安全管理措置パソコン利用教育（パスワード管理）

チェックリストにある要求ルール：

パスワードは自分の名前、電話番号、誕生日など推測されやすいものを避けて複数のウェブサイトで使いまわしをしないなど、強固なパスワードを設定していますか？
パスワードを紙に書いて机の引き出しに入れたり、他人から見やすい場所に貼っていませんか？人に教えたりしていませんか？

■ 推奨対策

対策：

今回の事例はなりすましメールである。
このところメールの乗っ取りが急増した。乗っ取りの手口が共有化されたり、あるいは同一犯が学校ばかりを狙っている可能性がある。学校が発行する学生や教職員用のメールアドれるは、目的を持って調べれば誰でも知ることができる。そのアドレスに対し簡単に類推できるパスワードを組み合わせると本人になりすますことができ、さらに学内や企業内のファイルサーバにも入る込める可能性がある。不正を試みる犯人たちは、数万件に及ぶ「よく使われるパスワードリスト」をすでに入手しており、機械的にパスワードをメールアドレスにぶつけて一致させるアプリケーションもネット上に多数存在しているので、ある意味では誰でもなりすましできてしまう材料は揃っている。

具体例：

パソコンを使用するときに求められるIDPW.特にIDにメールアドレスを使っているケースが散見されるが、以外にセキュリティーホールにもなっている。利用者が覚えやすい、という理由で簡便な連続文字や、誕生日などを使っていれば、メールアドレスだけあればその会社の社内システムに簡単にログインできる可能性が高くなる。ファイルなどの置き場所や社員専用サイトのURLは大体どの会社も似たようなアドれるであり、ましてやクラウドサービスであればあらかじめセットされたURLを使っているので、不正アクセスをする側から見たら、やりやすい手段のひとつである。今回の実質被害は不明だが、パスワード一つで大きな損害を招きかねない、という事例である。社員に徹底する内容がまた増えた。