Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

大阪大学への不正アクセス事件を考えてみた。

考えてみた。 不正アクセス事件

2017年12月14日に大阪大学不正アクセスにより個人情報を漏えいしたおそれがある件を発表しました。この件について、まとめてみよう・・・と思ったのですが、既にpiyoさんが(久々に)記事を書かれていましたので、私はまとめ・・ないでで考えてみます。

 

d.hatena.ne.jp

詳しくは上記piyoさんの記事を見た方が早いと思いますが、非常にざっくりと事件を書くならば、一般ユーザ(教職員)のID/パスワードを使い「教育用計算機システム」および「学内グループウェア」に入られて(不正アクセスを受け)、ユーザID・管理者IDを含む個人情報やメール情報(添付ファイル等に個人情報を含む)を盗まれた可能性がある、という事かと思います。

 

事件の時系列を見る限り、非常に発表が遅いという印象です。

公表に当たっては、事実関係を正確に把握する必要があることから、情報漏えいが確認されて以降、外部の専門機関の協力を得ながら徹底した調査を実施し、情報の範囲を確認するため時間を要してしまい、このたびの公表となりましたことを重ねてお詫び申し上げます。(お詫び文から引用)

と大学は発表していますが、時系列を確認すると、、、

・5月18日~7月4日 不正侵入・不正プログラム設置・管理者ID搾取・メール情報等から個人情報が漏えい

・6月21日~    不正侵入の兆候を検知、セキュリティ会社に調査開始

・7月25日     不正アクセスがあったと判断

 

事件発表が12月13日ですので、最初の侵入情報を検知してから約半年です。個人情報漏えいに対する組織のレスポンスとしては普通であるとは言えないかと思います。むしろ隠せるなら隠したかった、そんな思惑があったのではないか、とすら想像されます。

こうした不正侵入事件が成功した際は、攻撃側は当然のことながら、”同業他社(他大学)”であったり同様なシステムを使っているユーザも同様な脆弱性があるのではないかと考えて、集中的に攻める事が多い(特に金融セクターは)かと思います。その観点では、自社で情報をクローズする事で、将来防げたかも知れない他事件を抑制する事ができません。

そして、再発防止策を見て思ったのは、残念ながら大阪大学はまた事件を再発する可能性が高い、という事です。(外部のセキュリティ会社の今後のアドバイス次第という所はありますが・・・)

 

大阪大学の公式発表は、公式資料、総長コメント、不正アクセスによる個人情報漏えいについて(お詫び)の3資料が出ているのですが、総長コメントには以下の様に書かれています。

個人情報の取扱いにつきましては、 各種研修、会議学内通知等を通じ教 職員への啓発 を行うことにより 、適切な管理を図ってきたところですが、 今回このような事態が発生し 、関係者の皆さま に多大なご迷惑をおかけしたことを深くお詫び申し上げる次第です 。


本学といたしまて 、今回の個人情報漏えいを 極めて 重大な問題であると受け止め、 全構成員に対して 個人情報の 取扱い 及びID とパスワードの適切な管理について、 より一層の周知徹底を図るともに、 個人情報を含む学内の重要情報を守るため、セキュリティの強化に努めてまいります。

総長コメントより引用)

 

 2017年8月1日~28日 大阪大学不正アクセスに対する再発防止策を実施

(piyolog「大阪大学への不正アクセスについてまとめてみた」インシデントタイムラインより引用)

piyoさんの記事を見ると、8月には再発防止策を対策済、とありました。そして上記の公式発表には「ID/パスワードの適切な管理」の徹底、としかありませんので、今後もID・パスワードで運用を(当面)していく、という事だと推測します。

だとすれば、また攻撃を受ける可能性は高いと言えます。ID/パスワードの適切な管理が悪いという訳ではありませんが、既に大阪大学は6月に別な事件を起こしています。

www.sankei.com

こちらの事件では直接的に大阪大学不正アクセスを受けたわけではありませんが、大学としてのコメントには、記事にはこう書いてあります。

阪大は「全学的に個人情報の取り扱いについて周知を行うとともに、パスワード設定の徹底などを指導する」としている。

1年に2度の事件を発表した大学としての対応がこれで良いのか?と考えるとID/パスワードだけではなく、例えば外部からのアクセスには多要素(多段階)認証を使う、という手段もあるでしょうし、外部からのアクセス人数が限定されるのであれば証明書によるHTTPSアクセスという手もあるかと思います。また、学生証や職員証はICカードである事が多いはずですので、ICカード認証も考えられます。

こうした事件を機に、大学の実験的な取り組みとして生体認証(FIDO等)を使ったアクセスなども考えられないでしょうか?予算の問題はあるのかも知れませんが、データ侵害事件を今後発生させるリスクを軽減させる取り組みは、もっと早いスピードで大阪大学は取り組まないと、また狙われる・・・事を懸念します。

 

※ご参考:FIDO

foxsecurity.hatenablog.com

 

f:id:foxcafelate:20171210112642p:plain

更新履歴

  • 2017年12月15日 AM