Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

大学のOffice365はまだ狙われている

7Payなど、大きな注目を集めるニュースに流されてネタを拾うのが大変なのですが、東北工業大学クラウドメール侵害が出ていました。

scan.netsecurity.ne.jp

 

■公式発表 不正アクセスによる個人情報漏洩の可能性及び迷惑メール送信に関するお詫び

 

東北工業大学は7月1日、同学が学生用に利用するクラウドメールサービスにて学生1名のメールアカウントが不正アクセスを受け、当該アカウントから不特定多数の宛先に向け迷惑メールが送信されたことが判明したと発表した。

これは同学学生1名のメールアカウントのパスワードが窃取され、5月9日から5月13日にかけ当該アカウントが不正アクセスを受け4,543件の迷惑メールが送信され、このうち2,213件は宛先不明等による送信失敗となるも2,330件が送信成功したというもの。

5月13日に当該学生が不正アクセスに気付きパスワードを変更するまでの間、攻撃者が当該学生のメールボックスやアドレス帳の閲覧が可能な状態であった。

(Scan Net Security記事より引用)

 

◆キタきつねの所感

1件だけのメールアカウント侵害という事もあり、大学側が発表しない手もあったんんではないかな・・・と思う部分もありますが、漏洩したメールアドレスや添付ファイルが、次の標的側攻撃(メール)の材料となる可能性もある事から、大学側がきちんと発表した事は、他の大学関係者への注意喚起という意味でも正しかったのではないかなと思います。

 

この記事を受けて改めて思うのは、クラウドサービスを学生の利便性を考えて1要素認証にしている事がいかに危険かという事です。

 

改めて言うまでも無いかと思いますが、大学は定期的に襲われているといっても良い状況で、1要素認証の所は、パスワードリスト攻撃の餌食となりやすい状況にあります。

foxsecurity.hatenablog.com

foxsecurity.hatenablog.com

 

東北工場大学のメールは・・・と調べてみると、きちんと入り口のリンクが掲載されています。今回侵害を受けたのは『学生 WEB MAIL』だと思われますので、こちらをクリックしてみます。

 

f:id:foxcafelate:20190707153020p:plain

 

当然の様にOutlook(Office365)の入り口が見えます。追加認証は画面からは確認できません(※その説明もありません)ので、IDとパスワードの1要素認証で外部メールアクセスを管理している事がわかります。

f:id:foxcafelate:20190707153159p:plain

 

大学やマイクロソフトと何のしがらみもありませんので、セキュリティ記事を書く方々が意図的に伏せている(様に思える)、『Office365』であると明記してしまうのですが、大学が受ける不正アクセス事件の度に、マイクロソフトの名前が出てこないのが非常に不思議です。

 

英語での発表となりますが、4/30にはマイクロソフトのセキュリティ強化策の発表もありましたし、サードパーティでも多要素認証(多段階認証)のサービスを提供してくれている所は多々あるはずです。

 

オフィス365の安全性向上 - Fox on Security

 

今回被害を受けたのは総合大学ではなく、”工業大学”な訳であり、そうした多要素認証の重要性まで含めて、多少費用がかかっても機能を提供する事が重要なのではないかなと愚考します。

 

まぁ、1要素認証でクラウドサービスを大学等の教育機関に安価にばら撒いているマイクロソフトもどうかと思いますが・・・事件を誘発していると言われても仕方がないのではないでしょうか?

 

因みにこの事件で気になるのがもう1点あります。

・・・4,543件の迷惑メールが送信され、このうち2,213件は宛先不明等による送信失敗となるも2,330件が送信成功したというもの。

5月13日に当該学生が不正アクセスに気付きパスワードを変更するまでの間、攻撃者が当該学生のメールボックスやアドレス帳の閲覧が可能な状態であった。

 

大学側が4543通のメール(2213件のエラーメール)を1アカウントから送られていて、検知できてません。5日間に平均的に送信されたとしても、1アカウントから1日800通以上が送信されていて(その内半分の400通はエラーになった計算ですが・・)、大学側が検知できていないのは、普段からそうした大量のメールが飛び交う環境であるなら仕方がない事かも知れませんが、少なくてもエラーログが多い時はアラートを上げる等の対応はやった方が良いのではないかな・・・と思います。

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

f:id:foxcafelate:20190707151815p:plain

更新履歴

  • 2019年7月7日PM(予約投稿)