文部科学省が大学がフィッシングメールにひっかかっている旨の注意喚起を出している件が報じられていました。
www.sankei.com
サイバー犯罪者は盗んだID、パスワードで不正ログインし、教職員や学生のメールを勝手に外部転送するよう設定を変更していたとみられる。文科省によると、6大学では、転送メールに含まれていた合計約1万2千人分の個人情報が漏えいしていた。
被害が判明しているのは弘前大のほか、横浜市立大、富山県立大、立命館大、島根大、沖縄県立看護大。全てマイクロソフトの「オフィス365」というシステムを利用していた。
各大学によると、フィッシングメールは英文で「メールが送れなかった」などと送信障害を装う内容。本文中のURLをクリックすると、本物そっくりの偽サイトに誘導され、IDやパスワードの入力を求められる。誤って入力すると、犯罪者に情報が渡る仕組み。偽サイトは本物を丸ごとコピーしているとみられる。
(産経ニュースより引用)
◆キタきつねの所感
6つの国公私立大からフィッシング被害を受け約12,000件の個人情報が漏えいした可能性があると内容ですが、まず全般的に言える事として、「セキュリティ教育」が適当であったとしか思えません。知見の少ない学生はいざ知らず、教職員がフィッシング被害を受けている所、象牙の塔に篭っているご老体の教授であろうと、ネットサービスを使う以上は、フィッシングにひっかからない様に努力すべきではないでしょうか。
英文のメール・・・という所でそもそも気づけるチャンスがあると思うのですが、誘導された偽サイトは本物そっくりである事が多く、次にフィッシングに気づける可能性がある、証明書やURLアドレス・・の部分は画面が小さい、スマートフォンで操作していたとしたら、気づけなかったかも知れません。
ではどうやったら防げたのか?文部科学省はそこまで指導したのか・・・少し疑問です。
全国の大学に対して対策を強化するよう注意喚起を行った。
注意喚起した、対策強化の中身が気になるところ。文字だけで「対策しろ!」であれば、おそらく次の被害も(ほとぼりが冷めた頃に)発生すると思います。
不審なメールが来たら大学のCSIRT(IT)チームに相談(報告)して下さい、、的な運用であれば、既に告知済みという所が多いでしょう。その運用が廻ってないから不審なメール先に飛んでしまうのではないでしょうか。
オフィス365を使うのに、IDとパスだけでやっているから不正ログインまで辿りつかれていると文部科学省ももう1段階突っ込んだ注意喚起を出せば良いのに・・・と思います。例えば外部アクセスに対しては多段階認証や多要素認証を必須としていれば、今回の攻撃は成立しなかったと思います。
こうした攻撃手法、今回初めてではないと思います。3月に記事を書いているのですが、全世界の大学教授(職員)が不正にIDとパスワードを窃取された事件なのですが、脆弱点は同じだと思います。(オフィス365ではありませんが、フィッシングにひっかかったのは同じ脆弱点だったと思われます)
foxsecurity.hatenablog.com
そして・・・この手の事件が発生した後に起こりやすいのが、2次攻撃です。(往々にして別なハッカーがしかけてきますが)
文科省を偽ったメールで添付ファイルを開いて内容を確認して下さい・・といったマルウェア付メール、あるいはURLをクリックさせ、偽サイト経由でマルウェア感染させる・・といった便乗攻撃が懸念されます。
この事件を調べていたら、文科省を偽る(事件には関係が無い)フィッシングメールは既に今年1月に出てきているようです。様々な組み合わせで攻撃者は大学を騙そうとする・・・やはり大学は狙われている、その認識を強く持ち、人の教育だけで防げないところは、技術的対策をしっかり考えるべきではないでしょうか。
参考:首都大学東京の(内部向け)注意喚起
【注意喚起】文部科学省を騙った不審メールについて - TMUNER
文部科学省からの文書を装った不審メールについての注意喚起です。
この不審メール本文中のURLリンクへのアクセスを実行した場合に、マルウェア感染等の被害を受ける可能性があります。
更新履歴