Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

大学は多要素認証を本格的に検討すべきではないか

また大学のOffice365が迷惑メールの踏み台に使われました。

mainichi.jp


NHKの記事の方が詳しく書いていたのでこちらを引用します。(しばらくすると消えてしまうと思いますが)

県立大メールに不正アクセス|NHK 島根県のニュース

浜田市にある島根県立大学は大学が学生に与えているメールアカウントに外部から不正なアクセスがあり、そのメールアカウントから6500件余りの迷惑メールが送られていたと発表しました。
島根県立大学によりますと、2月26日、大学が使っているメールシステムから「あるアカウントから大量のメールが送られている」という通知が来ていることに担当者が気づきました。
大学が調査したところ2月4日から26日の間に大学が学生に与えているメールアカウントの1つに外部から不正にアクセスがあり、そのアカウントから6500件余りの迷惑メールが送られていたことがわかりました。

NHK Webニュースから引用)

 

■公式発表 不正アクセスによる個人情報漏洩の可能性及びスパムメールの送信に関するお詫び 

 

◆キタきつねの所感

まず思うのが、何故「Office365」が攻撃を受けたと明示しないのかが不思議でなりません。マイクロソフト社の事実上ディファクトとなりつつあるクラウドサービスを名指しするのは、色々な影響があるのかも知れませんが、クラウドサービスだからこそ、この手の被害が出続けている訳であり、IDとパスワードの脆弱な部分をハッカーに攻撃されている事が、ぼやかされているからこそ、この手の事件が続いているのではないでしょうか?

 

大学がOffice365を使っているかどうかについては、簡単に調べる事ができます

Google検索で、ベタに検索するだけで大体は、学生あるいは関係者向けの電子メールシステム(申請)の説明ページがヒットします。1分もかかりません。

f:id:foxcafelate:20190303072521j:plain

 

 

電子メールサービス | 島根大学総合情報処理センター

 

そして、学内向けの説明ページを見ると、2つのことが分かります。「Office365」を利用している事(確定)と、「オプションで多要素認証が選択できる」様になっている事です。

f:id:foxcafelate:20190303072143j:plain

 

 

多要素認証はどうやら去年の10月から機能提供された様です。明治大学など他大学の攻撃事例を受けて、対応を取ったのだろうと想像されますが、2要素認証を強制している訳ではないので、結局IDとパスワードを破られましたという事だと思われます。

 

f:id:foxcafelate:20190303072923j:plain

 

公式発表を見てみると、報道記事には細かい部分もわかってきました。

f:id:foxcafelate:20190303071520j:plain

 

まず、島根県立大学システム担当が失敗している部分が事件の時系列から見えてきます。

日時 出来事
2019/2/4-2/26 学生のメールアカウント1名分が乗っ取られ、外部へ3.8万件の迷惑メールが送信試行(3.1万件がエラー)され、6542件が外部に不正送信された
2019/2/23 システム担当者へアラートメールが送信される
2019/2/26 17:00頃 (システム担当者が)アラートメールに気づく
  当該アカウントを停止、詳細調査(学生ヒアリング)
  全学生教職員に対し、電子メールのパスワード変更や不審なメールに関する注意喚起等を実施
  島根県警察本部に連絡
2019/3/1 事件を公表

 

システム担当は、、、3日間もアラートを放置している事になります。2/23が土曜日ですので、攻撃側はセオリー通り、システム管理者が手薄になりやすい週末を狙って迷惑メール送信を試みています。2/25(月)にはシステム担当が気づきそうなものですが、実際に気づいたのは2/26(火)夕方

 

これ、アラートシステムを導入している意味があるのでしょうか?

 

裏側の事情はもしかすると、システム担当の人数が少なく、作業が立て込んでいて見落とした・・・といったミスなのかも知れませんが、アラート(メール)を複数人の担当が対応する体制が取れていれば、誰が気づけたのではないでしょうか。。。。

 

もう1つの問題点は、攻撃を受けた脆弱点が潜在的にはつぶしきれてない点です。折角Office365で多要素認証をオプションで選べる訳ですから、事件を受けて多要素認証必須化に誘導(強制)する方が良い気がします。

予算の問題などもあるので、すぐには・・・というのであれば、暫定処置として「パスワードの強制リセット」(※明治大学が実施)も検討の余地があったのではないかなと思います。

今回の事件は1名のアカウント乗っ取りで軽微に見えますが、脆弱性を考えれば同じ攻撃が学生のみならず教職員のアカウントから再び発生してしまう可能性もあるので、啓蒙教育と併せて真剣に対策を検討する方が良いかと思います。

 

最後に、島根県立大学は、東京理科大が同じ攻撃を受けた事を発表したすぐ後に、攻撃を受けている事が発覚した訳ですが、システム担当者がこうした(他校・他社の)事件情報に敏感であれば、被害の軽減はできたのではないかなと思います。

 

 

参考:

foxsecurity.hatenablog.com

 

ã­ã¤ã¿ã¼æ¿ã®ã¤ã©ã¹ã

更新履歴

  • 2019年3月3日AM(予約投稿)