事故から学ぶ

学校用メールアカウントの不正利用による迷惑メールの送信について

事故概要

業種 木津川市マチオモイ部 学研企画課
発生時期 2019/07/15
漏えい人数 未発表
事故概要

木津川市マチオモイ部は、外部からのメールアカウント不正利用により、市内小学校の学校用メールアカウントから不特定多数の宛先に向け迷惑メールが送信されたと発表した。
調査の結果、不正利用されたのは学校用メールアカウントのみであり、個人情報の流出はない。さらに、不正利用されたメールアカウントは、事案の発生認知後、送信を停止しており、さらなる被害は発生していない、としている。今後、セキュリティ対策のさらなる強化に努め、再発防止に取り組むことも併せて発表した。

引用元 木津川市マチオモイ部 学研企画課

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
20-7 (第20条)安全管理措置 パソコン利用教育(パスワード管理)
22-24 (第22条)委託先の監督 社内規則の整備(外部サービス利用)

チェックリストにある要求ルール:

パスワードは自分の名前、電話番号、誕生日など推測されやすいものを避けて複数のウェブサイトで使いまわしをしないなど、強固なパスワードを設定していますか?
パスワードを紙に書いて机の引き出しに入れたり、他人から見やすい場所に貼っていませんか?人に教えたりしていませんか?

クラウドサービスなど外部システムサービスを利用する時は利用規約やセキュリティ対策を確認するなど、サービスの安全・信頼性を把握して選定していますか?
サーバの安全管理措置徹底を頻繁に確認し、徹底していますか。特に外部委託している場合は、まかせっきりにせず自らの目でも確認していますか?

■ 推奨対策

対策:

このところ急増しているメールの乗っ取り事案が止まらない。
メール乗っ取りの手口が共有化され、同一犯かのっとりの知識を共有化した新たなる犯罪者が、学校から公共機関、外郭団体などに対象を広げて狙っている可能性がある。学校が発行する学生や教職員用のメールアドレスは、目的を持って調べれば誰でも知ることができる。そのアドレスに対し簡単に類推できるパスワードを組み合わせると本人になりすますことができ、さらに学内や企業内のファイルサーバにも入る込める可能性がある。不正を試みる犯人たちは、数万件に及ぶ「よく使われるパスワードリスト」をすでに入手しており、機械的にパスワードをメールアドレスにぶつけて一致させるアプリケーションもネット上に多数存在しているので、ある意味では誰でもなりすましできてしまう材料は揃っている。

具体例:

パソコンを使用するときに求められるIDPW.特にIDにメールアドレスを使っているケースが散見されるが、以外にセキュリティーホールにもなっている。利用者が覚えやすい、という理由で簡便な連続文字や、誕生日などを使っていれば、メールアドレスだけあればその会社の社内システムに簡単にログインできる可能性が高くなる。ファイルなどの置き場所や社員専用サイトのURLは大体どの会社も似たようなアドレスであり、ましてやクラウドサービスであればあらかじめセットされたURLを使っているので、不正アクセスをする側から見たら、やりやすい手段のひとつである。今回の実質被害は不明だが、パスワード一つで大きな損害を招きかねない、という事例である。社員に徹底する内容がまた増えた。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。