Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

新潟大学は後手にまわっている

大学の教職員が持つ情報はここ数年攻撃対象となっていますが、新潟大学がまた漏洩事件を発表しました。

f:id:foxcafelate:20181208153347j:plain

■公式発表 不審メール被害の報告及び迷惑メール送信に関するお詫び

 

◆キタきつねの所感

学生がフィッシングにひっかかって、メールボックスの個人情報が不正に閲覧された可能性、および29.6万通の迷惑メールの踏み台に使われたという発表です。ここ数年、本当に当たり前の様に出てきている大学関連の事件ですが、新潟大学に関して言えば、9月末にも教職員が同じ様な被害を受けています。

 

www.security-next.com

これは、前の事件への事後対策が遅すぎたので、今回の事件が起きたと見る事もできるかと思います。

時系列で見るとこれがはっきりと分かります。

  • 4/17-5/14 【前回】フィッシングメールが送信、教職員6名がメールを踏む
  • 5/10、5/15 【前回】約36万件の迷惑メールが送信
  • 8/24 【今回】フィッシングメールが送信、学生1名がメールを踏む
  • 8/28 【今回】約29.6万通の迷惑メールが送信
  • 9/27 【前回】事件の公表
  • 12/6 【今回】事件の公表

5月には大学側はフィッシングに気づいていると思いますが、この際に教職員だけでなく、同様に対象となる可能性が高い学生まで含めて対策をすれば、3ヶ月も間があいている訳ですから、事件は防げた可能性はあると思います。

しかし、前回事件の公式発表では・・・

4.今後の対応

全教職員に対し,学内研修会により,個人情報の管理及び情報セキュリティ対策についての指導を徹底するとともに,技術的,システム的な情報セキュリティ対策の更なる強化を図ります
また,本インシデント発生後,個人情報漏洩の有無や個人情報の内容等の特定,特に,不正アクセスを受けた6名の教職員に関しての綿密な調査を行っていたため,時間を要してしまい,ご報告がおくれてしまいましたこと,お詫び申し上げます。今後は迅速な調査に努めます

前回の公式発表より引用)

啓蒙教育と、技術的対策強化は・・・教職員にだけ実施される予定である事が分かります。

新潟大学のメールシステムは、Gmalを使っており、それは教職員と学生共に同じです。

f:id:foxcafelate:20181208155726j:plain

Gmailを使っている事も公開していますし、ID体系なども外部にHPやマニュアル等の形で公開されており、不正アクセスを試みようとする攻撃側にとっては、攻撃に使える情報が豊富と言えるかも知れません。

f:id:foxcafelate:20181208155450j:plain

 

こうした状況では、教職員だけでなく、学生もフィッシング攻撃の対象となる可能性があるとして、対策を考える事が重要だと思うのですが、

4.今後の対応

本学学生に対し、電子メールアカウントの取り扱い及び個人情報の保護について、指導を徹底させていただきます。また、電子メールに関するセキュリティ強化を実施します
なお、本インシデントに関する確認・調査に時間を要し、公表が遅れてしまい申し訳ございません。今後は迅速な調査及び公表に努めさせていただきます

今回の公式発表より引用)

 

2つの公式発表を見ていると、同じ事を書いている様にしか見えません。

対策に網羅性が無くリスクアセスメント不足)、対策実装のスピード感が遅い事を考えると、また似た様な事件が起こる可能性が高いと言えます。

 

明治大学における不正アクセスの記事でも書きましたが、大学の動きは総じて鈍すぎると言えます。短期的であればパスワードを強固にしてしまう様に、教育を急ぐ(パスワードリセットは行き過ぎな気もしますが・・)事が有効だと思います。

中期的には(予算が確保できれば)外部アクセスに対して証明書を使うのも有効かと思います。あるいはFIDO等の生体認証というのも検討の余地があるかも知れません。

そして、私個人が対策を考えるのであれば、インターネットに『Gmail』や『Office365』を使っている事であったり、PDF等のユーザマニュアルを一般公開しておくのは極力避けるかと思います。

 

余談となりますが、新潟大学での”情報セキュリティ事故”の発表は3つありました。1月にHP改ざんが発生し、9月の個人情報漏えい&迷惑メール踏み台、そして今回の個人情報漏えい&迷惑メール踏み台。これだけ事件が続くということは、大学側に問題がある、そうした考えに立ってセキュリティ体制を見直す必要があるのではないでしょうか?

 

医歯学総合病院ホームページの改ざんについて | お知らせ | ニュース - 新潟大学

新潟大学におけるフィッシングメール被害による情報漏洩の可能性及び迷惑メール送信に関するお詫びについて | お知らせ | ニュース - 新潟大学

不審メール被害の報告及び迷惑メール送信に関するお詫び | お知らせ | ニュース - 新潟大学

 

foxsecurity.hatenablog.com

 

「エサをあげないで」のイラスト(魚)

更新履歴

  • 2018年12月8日PM(予約投稿)