Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

明治大学は新たに攻撃を受けたのではないか?

明治大学不正アクセスを受けSPAMメールの踏み台になっていたと発表したのは今年の7月です。ふとpiyoさんのTwitterを見ていて気づいたのですが、明治大学は全学生に対するパスワードリセットを今やろうとしています

f:id:foxcafelate:20181020164334j:plain

 

◆キタきつねの所感

このお知らせを見て、「おいおい、それの何が問題なんだい?」 普通の方はそう感じるかと思います。私は前回事件で記事を書いているのと、監査経験が一般の方よりはソコソコ長いので、、読んでいて違和感がありました。

 

最初の発表がどうだったのか、おさらいしてみますと、

 ■7月26日の明治大学の発表

 不正アクセスによるSPAMメールの送信及び個人情報の漏えいについて

 

ここでは、6月30日と7月12日不正アクセスを受け、合わせて

  1. SPAMメール送信件数 445件
  2. 漏洩メール件数  1500件
  3. 個人情報漏えい  112名

の被害を受けたと7月26日に発表しています。

 

ところが今回のお知らせでは、

本年6月末から10月にかけて数回にわたり、学内で使用されているユーザIDやパスワードが第三者に不正に入手され、個人情報の漏洩やSPAMメールが送信されるという重大な被害が発生しました

明治大学情報基盤本部のお知らせから引用)

7月に発表された事件・・・ではバーされてない内容が書かれています。

それは、7月の発表以降も明治大学では不正アクセスが発生しているという事です。Twitterのつぶやきを見ると、突然パスワードリセットのお知らせが来たという感じでしたので、10月上旬にパスワードリセットを決断させるまでの規模の不正アクセス(試行)があったのだと推測されます。

 

前回事件の公式発表が掲載されていたのは、明治大学ニュース一覧でした。

 

f:id:foxcafelate:20181020171013j:plain

 

同じところを見てみたのですが、更なる個人情報漏えいに関する発表はありませんでした。(Google検索でもひっかからず)

f:id:foxcafelate:20181020171139j:plain

 

今回の通知を出した「情報基盤本部」のお知らせ・・・も見てみましたが、特に新しい情報はありません。 

f:id:foxcafelate:20181020171345j:plain

 

誤解を恐れずに言えば、明治大学新たな不正アクセス(未遂)事件を『発表しない』という選択をしたのではないでしょうか。でなければ『10月』というお知らせの中の文言についての説明がつきません

もしかすると、大学(CSIRT)間ではこうした情報が共有されているのかも知れませんが、不正アクセスでは短期間で、他の大学、他の企業も同様な攻撃を受ける可能性が高いといわれています。もし私の推測が合っているのだとすれば、明治大学は事件(未遂)を公開し、他の『Office365』ユーザへの警戒を促して欲しいと強く思います。

 

私見ですが、2要素認証(同等の対策)が無いと、IDとパスワードだけでOffice365へのアクセスを守る事は難しいかと思います。

 

そして、明治大学がパスワードリセットという対策を、当事者である学生にも(新たな事件の?)経緯をあまり伝えず、今打ったのは、抜本対策を真面目に検討してなかった、そんな風に感じました。(予算やら色々あるでしょうが、7月時点でも同様な攻撃が拡大する可能性が高かったと予見できたのではないでしょうか)

4今後の再発防止策
本学では,今回の事案が発生したことを踏まえ,学内情報システムで使用しているアカウント及びパスワードについて,より一層の厳重管理をするようルール化し,周知徹底を図ります。

また,外部専門機関と連携しながら監視体制を強化し,情報システム全体のセキュリティを向上させ,個人情報の更なる適正管理に努めます

(7月の明治大学公式発表より引用)

 

参考

foxsecurity.hatenablog.com

大学のイラスト

 

更新履歴

  • 2018年10月20日PM(予約投稿)