事故から学ぶ

本学発信の迷惑メールについて 岡山大学

事故概要

業種 大学
発生時期 2020/8/24
漏えい人数 1
事故概要

本学のメールサービス利用者1名のメールパスワードが窃取され、令和2年8月24日(月)16:20頃から20:10頃にかけて、学外からの不正アクセスにより当該利用者のメールアドレスから約2千件の迷惑メールが送信されるという事案が発生しました。一部のメールにはウイルスを含む添付ファイルが付加されている可能性があります。受信された際は、ウイルス感染や不正アクセスなどの危険がありますので、添付ファイルの開封やメール本文中のURLのクリックを行わず、メールごと削除していただくようお願いいたします。
なお、現時点において、本件に関する二次被害は確認されておりません。また、調査の結果、メールの盗み見や個人情報など秘密情報の流出は確認されておりません。
本学はこの事態を重く受け止め、パスワードの適切な管理の徹底のほか、再発防止に向けたシステム運用の見直しを行う所存です。

引用元 岡山大学

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-1(第20条)安全管理措置 システム管理(不正アクセス防止)

チェックリストにある要求ルール:

利用中のウェブサービス・インターネットサービス(インターネットバンキング、ソーシャルネットワーキングサービス(SNS)、ウェブメール、カレンダーなどインターネット経由で利用するサービスの総称)、クラウドサービス(サーバ等のレンタルや運用サービス、決済サービス等)や製品メーカーが発信するセキュリティ注意喚起を確認し、社内共有して社内での対策を確実に実施していますか?
自分が理解できないセキュリティー設定に関しては、勝手な解釈や判断を行わず、専門家や専任者の意見を踏まえた防御策を構築と監視をしていますか?
パスワードは数字だけのものを避けて、記号を含むなどの複雑なものにしていますか?
2段階認証、2要素認証が可能な場合は設定していますか?
安全性を確認せずにサイトからファイルをダウンロードしていませんか?
感染した、情報が洩れているからすぐに対応しろ、など閲覧しているサイトからの指示に惑わされ、システム管理者の許可を得ず勝手にファイルをダウロードしていませんか?
セキュリティー対策としてOSやアプリケーションは常に最新バージョンにアップデートしていますか?
携帯電話のOSやアプリケーションもも常に最新バージョンにアップデートしていますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

メールアドレスを踏み台にした不正アクセスだと思慮される。メールの連続送信機能など、シンプルなものでも被害を防げるものが多いので、対策検討をお願いしたい。

大量のスパムメールを中継したサーバーが不正中継データベースに登録され、正規の電子メールまでブロックされてしまう状況が生じるので深刻な問題である。

具体例:

手口も対策もネットに掲載されているので、信頼できるサイトの情報をたどって、自社にあう対策を講じて頂きたい。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。