Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

簡単なIDであるのはリスクになりつつある

Facebookの記事を調べようかな・・と思い、小さな記事の方に目が留まりました。

www.kahoku.co.jp

 同課によると、容疑者は他にも約180人のアカウントで約1800回の不正アクセスを繰り返した。容疑者が入手したメールは約8000件に上り、個人情報も含まれていたが、悪用された形跡はないという。
 容疑者は学生や職員に発行される初期設定のIDとパスワードの規則性に基づき、他人のアカウントを入手したとみられる。「学生気分を味わいたかった」と供述しているという。

河北新報

 

f:id:foxcafelate:20180930153401j:plain

■公式発表

 外部からの情報システムへの不正アクセス事件について

 

◆キタきつねの所感

自分が学生だった頃は・・・こうした甘いIDとパスワード管理というのは、その辺の教育機関にゴロゴロしてた気がしますが、少なくても東北学院大学のID付与に関しては、私の学生だった頃と似た様な管理だったようです。

 

例えば東北学院大学の職員の方のIDは、『お名前』から推測が出来そうです。

f:id:foxcafelate:20180930154154j:plain

例えば鈴木一郎さんであれば、『I-SUZUKI@mail.tohoku-gakuin.ac.jp』か『ISUZUKI@mail.tohoku-gakuin.ac.jp』。という感じ。あるいは『ISUZU@mail.tohoku-gakuin.ac.jp』といった短縮形も検索でひっかかりましたので、ご自分でIDを決められるルールですが、お名前が分かるものがIDとして選定されていると思われるので、設定申請のガイドライン例示がそうなっているのかも知れません。

 

一方で学生・・・こちらの方は、推定になりますが、かなり分かりやすい気がします。頭に学部の識別記号があり、その後ろは、、、恐らく学生番号ではないでしょうか。研究レポートなどがGoogle検索でひっかかりましたが、

f:id:foxcafelate:20180930154157j:plain

このID付与のルーリングは・・・数字入れればそれなりに当たってしまう(数字自体にも入学年度を表す数字が入っている気がしますが)ものだと思います。

 

恐らく初期パスワード・・簡単なものであったのではないでしょうか?よくありがちな初期IDと初期パスワードの組み合わせであるのが、

  • ID=Admin PASS=Admin

というものですが、これがあまり考えない教育機関であれば、

  • ID=学籍番号(A123456) PASS=学籍番号(A123456)

などという設定になっている事も珍しくないかも知れません。(私が学生の頃は・・・このパターンでした)情報リテラシー教育の一環であると考える事もあるかと思いますので、こうしたIDとパスの配布が必ずしも間違っているとは思いませんが、前提として、『短期間しか有効でない初期パスワード』であるべきではないでしょうか。例えばパスワード有効期間を短期間に限定し、初期パスワードは最初のログインの際に強制的に変更させる・・・そんなに難しいシステム設定ではないはずです。

 

今回の犯人が、ログインしている期間は、河北新報の記事によると

逮捕容疑は3月7日~7月1日ごろ、同大の専用ウェブシステムに学生や教職員計10人のアカウントで不正にアクセス・・・

とあるので、新入生の初期パスワードがそのまま使われていた、あるいは脆弱な初期パスワード(共通パスワード含む)がそのまま変更されずに残っていた・・そんなオチでないかなと推測します。

 

今回の事件では、不正アクセスにより盗聴された個人情報を含むメール情報は外部に漏洩しなかったようですが、少数ではありますが職員情報まで漏洩してしまっている事を考えると、ID付与の仕組みであったりを再考するのも必要かも知れません。

しかし、既に付与してしまったIDを急に変えるのは難しいかも知れません。抜本的には本人以外の不正アクセスを許してしまっている部分が問題だと思いますので、、、ICカードの学生証を使っているならば、カードを使った2要素認証なども一考ですし、スマホを使ったワンタイムパスワード(OTP)や生体認証などの追加認証を、学外からのアクセスに対して要求する、こうした手法も良いのではないでしょうか?

 

教育機関ではありませんが、(不正アクセス教育機関以上に悩まされている)ヤフーが生体認証の標準的規格、FIDOを近日中に導入するニュースが出ていました。今回の不正アクセスはパスワードリスト攻撃ではありませんでしたが、根底部分は同じ脆弱性なのだと思います。

about.yahoo.co.jp

 

 

パーカーのフードをかぶった怪しい人のイラスト

 

更新履歴

  • 2018年9月30日PM(予約投稿)