Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

大学は狙われている

12月15日に大阪大学に対する不正アクセス事件の記事を書きましたが、大学の不正アクセス事件を少し調べてみました。

 

foxsecurity.hatenablog.com

 

 ■2017年に発生した大学の不正アクセス事件

大学 発表日 出来事
大阪大学 2017年12月13日 5月18日~7月4日にかけて不正アクセスを受け、教職員や学生の個人情報7万件がダウンロードされた
放送大学 2017年12月13日 大学のアカウントを不正利用され10月27日~11月8日かけて迷惑メールが14.3万件送信されていることが判明
大阪大学 2017年6月26日 医学部付属病院の医師の個人アカウントが第三者に不正利用され、220人分の個人情報の漏えいした可能性があることが判明
香川県立保健医療大学 2017年6月21日 ホームページ管理用ソフトの脆弱性または管理者パスワードが取得されたことにより、ホームページが改ざんされた
放送大学 2017年6月15日 大学のアカウントが第三者に不正に利用され、6月4日~6月9日にかけて迷惑メール74.9万件が送信されていることが判明
法政大学 2017年3月10日 1月10日~2月7日に学外から不正なVPN接続によるポートスキャンが実施され、2016年12月8日にアカウント管理サーバから全アカウント情報を取得されたログが確認された
奈良先端科学技術大学院大学  2017年1月19日 研究室が管理する外部公開用のWEBサーバが、設定不備により2016年8月19日以前~9月23日まで外部への不正アクセスの踏み台として利用されていたことが判明
京都女子大学 2017年1月30日 メールサーバに不正アクセスがあり、職員のアカウントを踏み台として悪用され、1月26日に迷惑メール約4000件が送付されていたことが判明

 

大阪大学の記事でも書きましたが、大学に対する不正アクセスについては、大手企業が攻撃を受けるのと同様に「隙がないか調べられている」状況が続いていると言えそうです。また被害を受けた大学を調べてみると、何度も攻撃を受けている大学があることが分かりました。

大阪大学放送大学だけでなく、去年と今年にはなりますが、京都女子大学も複数回のリリースを出していました。

事件が公開されてないケースもかなりあるのだろうと思いますので(個人的な推測では10倍はあるのでは?)、うまく防御しきれた件も含めて、大学は常に(海外の)ハッカーから狙われていると考えた方がよさそうです。

被害件数が多くなくても油断はできません。WannaCryやNotPetyaのような攻撃でファイル暗号化で狙われた場合、相当困る大学は多いのではないでしょうか(パッチ当てだけでなく、バックアップも重要です)。

そうした意味では、外部からのアクセスに対する多要素(多段階)認証、という考え方を大学はもっと真剣に検討しないと、来年はもっと大型の事件が起きるような気がします。

 

大学のイラスト

 

 

更新履歴

  • 2017年12月17日 PM(予約投稿)