Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

兵庫教育大学の脆弱点

つぶやいてみた。

大学の情報は狙われている。その認識が当の大学側に希薄なのは残念です。兵庫教育大学からの個人情報流出は、大学側の危機感の無さを改めて考えさせられます。

www.kobe-np.co.jp

 

 兵庫教育大学(本部・兵庫県加東市)は17日、40代の男性事務職員が業務用メールを転送していたフリーメールに不正ログインがあり、学生を含む学内外の約1万人の個人情報が流出した可能性がある、と発表した。パスポートの写しや銀行の口座番号など、機密性の高い情報も140人分含まれていたという。

 大学によると、男性職員は2016年4月1日から、業務用メールをフリーメールへ自動転送するように設定。今年10月26日にフリーメールへの不正ログインに気付いたという。その時点で、フリーメール上に約4万通のメールが残っており、学生や教職員、学外の講師ら1万1322人分の名前や住所などが書かれていた。また、金融機関の情報や学生の障害・病歴が書かれたものもあったという。

 男性職員から報告を受けた大学側が調べたところ、今年5月以降、日本や中国、台湾から27回の不正アクセスが確認された。大学側は機密性の高い情報が漏れた可能性のある140人に順次、謝罪しているが、現時点で被害は把握していない。また、大学のメールサーバーなどへの不正アクセスは確認されていないという。

神戸新聞記事より引用)

 

■公式発表 電子メールの転送先での不正ログインによる個人情報漏えいについて

 

◆キタきつねの所感

事件の一報を読んだ時、また大学のCloudサービス口が攻撃を受けたのかと思ったのですが、公式発表を読むと、そうではなかったようです。

 

1.概要
   本学の事務職員が、出張先や自宅においても業務用のメールを確認できるよう平成28年4月1日から大学のメールアドレス宛てに届くメールをフリーメールへ自動転送しておりました。平成30年10月26日に当該職員のフリーメールに不正なアクセスを示すアラートが現れ、メールソフトのログイン履歴を確認したところ、第三者に閲覧されていた可能性があることが判明しました。
   当該職員のフリーメールには、平成28年4月1日から平成30年10月26日までのメールが残っており、その中には、要配慮個人情報11人分を含む11,322人分の個人情報が含まれていました。

(公式発表より引用)

 

まず疑問に思うのが、業務用メールのフリーメールへの転送が大学側から許可されていたのかどうかですが、メール転送が事実上出来ていた事から考えると、大学側のセキュリティポリシーで認めていたと考えられます。

とは言え、漏洩した情報から考えると、仮にポリシーが認めていたとしても、情報漏洩リスクが低く見積もられていた(ポリシー不備)か、運用違反(ルール違反)があったのではないかと推測します。

漏洩した情報には2年半のメールが蓄積されていた様ですが、大学側の公式発表にあるように『業務メールの確認』だけであるならば、長期間のメールを保存する必要はないはずです。おそらく公式発表に書かれている事は間違いであって、当該職員は確認(受信)だけでなく、業務メールを送信していた(業務を行っていた)と思われます。

メール確認だけであれば、2年半ものメール蓄積は不要なはずです。ましてや要配慮情報まで含んだファイルを長期間取っておく必要があったのかと考えると非常に疑問です。

 

また、自宅(外出先)で業務に関して、大学側としての正式なメールアドレスを使わせてないので、フリーメールに転送していたのだと思います。つまり(当該職員がやっていた)自宅等での業務(メール確認)はセキュリティポリシー違反であった事が想像されます。

 

※おそらく自宅でも作業をしなければならなかった事情があるのだと思いますが、大学側が自宅業務を行わせる場合の専用端末であったり、セキュリティ強化策を整備できていれば、ルール違反とわかっていつつも作業をする事はなかったのかなと想像します。

 

恐らく、当該職員もこの様な事態に陥るとは考えてもなかったでしょうが、今回のインシデントでの最大の脆弱点が何か?と考えると、『パスワードの脆弱性に帰結します。不正アクセスのアラートを出してきた事から考えると、Gmail辺りに転送をかけていたのかな?と思うのですが、外部のフリーメールが国内外のIPアドレスから不正アクセスを受けた理由は、パスワードが容易に推測できるものであった、あるいは他サイトで使い回しをしていたから、という可能性が高い気がします。

4.再発防止に向けて
   今回の事案を極めて重大な問題であると受け止め、全教職員に対し、情報管理及び個人情報の適切な取り扱いについてより一層の周知徹底を図るとともに、個人情報を含む機密性の高い情報を守るため、セキュリティの強化に努めてまいります
   今後このような事態が再び発生することがないよう、再発防止に向けて大学をあげて全力で取り組む所存です。

(公式発表より引用)

公式発表を見ると、対策部分については周知徹底(=教育)と、何を意味するのか不明な便利な単語セキュリティの強化を考えている様です。情報の適切な取り扱いは当然ですが、パスワード管理も重要かも知れません。セキュリティの強化・・については、神戸新聞側に具体策が少し書かれていました。

 

大学側は自動転送を禁止し、今後、学内メールへのログイン時に2段階認証の導入も検討する。福田光完学長は「再発防止に大学を挙げて取り組む」と陳謝した。

神戸新聞記事より引用)

 

考え方としては妥当かと思います。自動転送先の管理が甘くなっていた所を(当面)塞ぐのは当然だと思います。学内メールのログイン・・・の部分は、今後、業務で必要な場合、学内メールに対する外部からのアクセスを許容するという意味なのかと推測します。

個人的には2段階?2要素では無く?と思わなくもありませんが、(実装の部分を間違えて攻撃を受けた事例があるので・・・)対策としては、有効かと思います。

参考:二要素認証とは?セキュリティを向上させる5つのポイント

 

このBlogでも何度も取り上げていますが、、今回の不正アクセス、は日本、中国、台湾から27回の不正アクセス・・と報じられています。その証跡が正しければですが、中国(政府)系の教育機関を狙った攻撃であると考える事ができそうです。

 

大学側に狙われている意識が希薄な日本の教育機関。自身が持つ情報・研究成果のみならず、共同研究などの情報、そしてそこから政府や公的機関に繋がる標的型攻撃の踏み台としての情報など、国家的(海外)ハッカーから見ると、攻撃対象なのだという事を、今一度認識しなおす事が必要なのではないでしょうか。でなければ、来年も大学の学長が謝罪する姿が風物詩となってしまうかと思います。

 

foxsecurity.hatenablog.com

 

 ç¥æ¸ãã¼ãã¿ã¯ã¼ã®ã¤ã©ã¹ã

 

更新履歴

  • 2018年12月23日AM(予約投稿)