Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

大学が利用するクラウドサービスはパスワードだけでは守れない。

東京理科大学の個人情報漏えい事件が報じられていました。

www.security-next.com

 

公式発表 サイバー攻撃による個人情報等の流出について

 

東京理科大学において、フィッシングにより教員や学生が利用するクラウドサービスのアカウントが乗っ取られたことがわかった。メールが不正に転送されたほか、メールボックスクラウドストレージがアクセスを受けた可能性もある。

同大によれば、教員4人、学生4人がフィッシングサイトへ誘導されて誤ってパスワードを入力してしまい、クラウドサービス「Office 365」のアカウントが乗っ取られていたことが2018年11月6日に判明したもの。

(中略)

今回の乗っ取りにより、2018年9月11日から同年11月6日にかけて教員や学生が受信した3727件のメールが外部へ意図せず転送されていた。

(Security Next記事より引用)

 

◆キタきつねの所感

このブログでは、何度も大学セクターが攻撃を受けている記事を書いてきていますが、残念な予想をすると、まだ出てくると思います。

 

日経新聞が昨年7月に注意喚起の記事を出していますが、

文科省がOffice365の偽メールに注意喚起、6大学で被害 :日本経済新聞

 

それ以降も(少なくても)5件のOffice365アカウントからの情報漏えい(迷惑メール踏み台)事件が報じられています。

年月 組織 備考
2019/2/22 東京理科大 10/30頃から教職員、学生、卒業生に多数のフィッシングメールが届き調査し発覚。教員4人、学生4人のアカウントが乗っ取られ、3727件の迷惑メールが不正送信された。またメールボックスクラウドストレージがアクセスを受けた疑い。
2018/12/6 新潟大学 8/24支払通知を装ったフィッシングメールに学生が騙され、パスワードを入力。不正アクセスを受けた学生のアカウントが乗っ取られ約29.6万通の迷惑メールが不正送信された。また個人情報112件が漏洩した疑い。
2018/10/24 明治大学 3名の教職員が乗っ取られ、6972件の迷惑メールが不正送信された。また1147件の個人情報が漏洩した疑い。
2018/9/27 新潟大学  複数の教職員がメール管理者を装ったフィッシングメールに6名が騙され、パスワードを入力。不正アクセスを受けた教職員3名のアカウントが乗っ取られ約36万通の迷惑メールが不正送信された。また個人情報116件が漏洩した可能性。
2018/7/26 明治大学 6/30に職員1名、7/12のは部署メールアカウントが乗っ取られ、迷惑メール445件が不正送信された。また個人情報382件が漏洩した可能性。
2018/6/27

弘前大学

※日経記事の6大学

「Office365 team」を名乗るフィッシングメールに教職員12名が騙され、3151通の迷惑メールが不正送信された。また個人情報4974件が漏洩した疑い。
2018/6/22

島根大学

※日経記事の6大学

電子メールサービスの障害を装ったフィッシングメールに教職員14名が騙され、397件の迷惑メールが不正送信された。また個人情報970件が漏洩した疑い。
2018/6/20

沖縄県立看護大学

※日経記事の6大学

クラウドサービスの名前を騙る英語のフィッシングメールに、教職員1名が騙され、不正転送により330件の個人情報が漏洩した疑い。
2018/6/6

横浜市立大学

※日経記事の6大学

メール管理者を装う英文「送信サーバの障害によりメール送信ができませんでした。再送信を行う場合は、以下のリンクをクリックして下さい」という内容のフィッシングメールに教職員らが騙され、29件のアカウントが乗っ取られ3512件の迷惑メールが不正送信された。また個人情報5794件が漏洩した疑い。
2018/5/30

富山県立大学

※日経記事の6大学

クラウドサービスを装ったフィッシングメールに、5名の教職員が騙され、3名のアカウントから個人情報が不正転送され210件の個人情報が漏洩した疑い。
2018/5/2

立命館大学

※日経記事の6大学

4/24メールシステムの管理を装ったフィッシングメールに事務局職員が騙され、アカウントが乗っ取られユネスコチェア国際研修の研修応募者264人分の個人情報が閲覧可能な状態になっていた。

 

新潟大学明治大学に関しては、(事故対応中という事もあったのかと思いますが)2回、事件を起こしています。これが何を意味するかと言えば、ハッカー(攻撃)側は同じ攻撃をしてきており、それが成功してしまっているという事なのだと思います。

その理由としては、大学側の啓蒙(教育)が間に合ってない、理解度が進まない事にも大きな要因がありそうですが、それ以上に、学外(外部)からのアクセスに対して、IDとパスワードだけでクラウドサービス(Office365)を守れないという、パスワードが抱える根本的な問題に拠るのだと思います。

 

パスワードの父は言う「もう無理、悪夢」と | ギズモード・ジャパン

 

最初の理由に関連するのですが、大学等の教育機関が狙われる理由として、「関係者の人数が多い」そして機械音痴なご年配な方な教職員(OB)の方から高校を卒業したばかりの学生まで、幅が広く、セキュリティ意識の醸成が追いついてない事があるかも知れません。

調べた限りでは、事件となった大学への攻撃は、教職員が最初にフィッシングメールを踏んでいるケースの方が学生のそれよりも多いのです。均一的に情報セキュリティ教育を(例えば必修科目として)教え込みやすい学生に比べて、ITリテラシーに問題がある(かも知れない)教職員の方々がいるとも言えますし、大学でも公式アカウントであれば、メールを開くのが前提であるというケースも影響しているのかも知れません。

 

いずれにせよ、Office365をIDとパスワードだけで運用している大学からの個人情報漏えい事件が継続している訳ですから、幸いにもまだ被害を受けてない大学は、セキュリティ強化を考えるべきだと思います。おそらく、”パスワードの強化”に関する啓蒙教育だけでは守りきれない可能性が高い気がします。

対象人数が少ない学校であれば別でしょうが、外部からのアクセスを閉じるならともかく、やはり人数が多ければ一定の確率で適当にIDとパスワードを管理する(パスワードを使いまわしている)関係者は出てきてしまうかと思います。

そもそもパスワードの啓蒙強化(管理強化)だけで済むのならば、日経の去年6月記事文科省のフィッシングへの注意喚起)が効果を発揮していたと思います。ですが、その後も5件事件が発生している事から考えると、Office365(クラウドサービス)への(特に学外からの)アクセスには多要素認証などの追加対策が無いといつまでも事件が続くのではないでしょうか?

 

別記事でも書きましたが、大学におけるOffice365の普及率は70%を超えます。

Office365もFIDO2に積極対応していく(はず) - Fox on Security

だとすれば、何故マイクロソフト標準機能として多要素認証をサービスに組み込まないのだろうか?と思いますが・・大学の予算等々、何か理由があるのでしょう。とは言え、マイクロソフトクラウド環境における不正アクセスのリスクについて大学側に説明すべきではないかと思います。

 

必ずしもOffice365と書いてはないのですが、以下の3月の当ブログ記事も関連している気がします。職員や学生をフィッシングしても、個人情報は別にして、それほど重要な情報は窃取できません。

しかし例えば国や企業と共同研究をしている大学の先生となれば、、、海外ハッカーから見れば機密情報が含まれているかも知れません。そうした攻撃が、単純なIDとパスワードの脆弱性を突かれて漏洩してしまうかも知れないと考えると、もっとこのセキュリティホールを大学側も真剣に考えるべきと認識するきっかけとなるかも知れません。

foxsecurity.hatenablog.com

 

 

■参考過去記事

大学のクラウドサービス利用 - Fox on Security

教育機関へのサイバー攻撃 - Fox on Security

 

■参考(2017年の大学関連事件): 大学は狙われている - Fox on Security

大学 発表日 出来事
大阪大学 2017年12月13日 5月18日~7月4日にかけて不正アクセスを受け、教職員や学生の個人情報7万件がダウンロードされた
放送大学 2017年12月13日 大学のアカウントを不正利用され10月27日~11月8日かけて迷惑メールが14.3万件送信されていることが判明
大阪大学 2017年6月26日 医学部付属病院の医師の個人アカウントが第三者に不正利用され、220人分の個人情報の漏えいした可能性があることが判明
香川県立保健医療大学 2017年6月21日 ホームページ管理用ソフトの脆弱性または管理者パスワードが取得されたことにより、ホームページが改ざんされた
放送大学 2017年6月15日 大学のアカウントが第三者に不正に利用され、6月4日~6月9日にかけて迷惑メール74.9万件が送信されていることが判明
法政大学 2017年3月10日 1月10日~2月7日に学外から不正なVPN接続によるポートスキャンが実施され、2016年12月8日にアカウント管理サーバから全アカウント情報を取得されたログが確認された
奈良先端科学技術大学院大学  2017年1月19日 研究室が管理する外部公開用のWEBサーバが、設定不備により2016年8月19日以前~9月23日まで外部への不正アクセスの踏み台として利用されていたことが判明
京都女子大学 2017年1月30日 メールサーバに不正アクセスがあり、職員のアカウントを踏み台として悪用され、1月26日に迷惑メール約4000件が送付されていたことが判明

 

 

æç§æ¸ã®ã¤ã©ã¹ããçç§ã

更新履歴

  • 2019年2月23日PM(予約投稿)