Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ペンはキーボードより強し

米国コロラド州デンバーのレジス大学がサイバー攻撃に苦しんでいる様です。

www.denverpost.com

 

デンバーのレジス大学での法医学調査では、金曜日に私立大学の技術システムが国外からの「悪意のある脅威」によって攻撃されたことが確認されました。


「この問題を発見した直後に、調査を開始し、法執行機関に通知する間、大学とあなたの情報を保護するために、情報技術システムを迅速かつ意図的にオフラインにしました」とレジスは金曜日の声明で述べました。「残念ながら、私たちはこの種の事件に直面した最新の存在です。

(中略)

「特にこの時期にこれが引き起こした不便を後悔しています」と、レジス大学のジョン・フィッツギボンズ学長の声明を読みました。「この苛立たしい時間の継続的なサポートに感謝します。これは、新しい学年度を開始するときに、新しいレンジャーを返すことを私たちに思いとどまらせません。生徒たちが引き続き最優先事項であることをご理解ください。」

中断にもかかわらず、2,000人の学部生が月曜日にキャンパスに戻り、1979年のように授業に出かけます。キャンパスには使用可能なコンピューターがいくつかありますが、キャンパスのWiFiはまだ立ち入り禁止です。当面。

デンバーポスト記事より引用)※機械翻訳

 

◆キタきつねの所感

この時期にサイバー攻撃か・・・と大学当局、特にIT統括部門は泣きそうになっているかと思います。日本のそれとは違い、米国では9月から新学年がスタートするので、日本では言えば4月の新学期開始前に、ほとんどのPC/ネットワークが落ちた状況と言えるかも知れません。

 

大学のホームページが普段見る事が無いトップページになっています。メールやその他のネットワークが落ちている以上、サイバー攻撃による侵害を受けなかった公式ホームページが大学と学生(職員)を結ぶ重要なツールとなっています。

f:id:foxcafelate:20190907125515p:plain

 

記事を書いている9/7現在で、Macのシステムは復旧させたようですが、Windows系のPCは影響が残っている事が怖いのか、パスワードリセットを必須としている様です。

 

リンクがあったので参考ユーチューブをみて見たのですが、、、大学?とは似つかない、Office365でパスワードリセットがされた場合のパスワード再セット方法が丁寧に動画でアップされています。(※ここまでしないといけないのか・・・とは思わなくもありませんが)

www.youtube.com

 

このサイバー攻撃の原因については報じられていませんが、この動画(デモ)を見ていた思ったのが、Office365が1要素認証になっている事が明確です。日本でも多くの大学(高校)が同じ運用をしていると思いますが、IDとパスワードだけでOffice365(OutlookやOneDrive)へ外部からアクセスできる状況であるのは、経済合理性(コストアップ)を考えると妥当性があるのかも知れませんが、多くの情報漏洩が起きている状況を考えるとあまり正しい選択とは、セキュリティ上は言えません。ここは多要素認証にしないと厳しいのではないかと思います。

 

図書館システム、授業料の支払い、授業登録、留学生へのサポート、事件に関連してのフィッシングメール対策、、、少なくても1週間以上ネットワークが止まっている為に、いろいろな業務が止まってしまった様です。これらは1970年代(古き良き時代)にそうであった様に、紙とペン、電話で業務継続が行う事を大学側は選択した様です。

 

日本で同等なハッキングが起きたとしても、米国程にネット化してない部分は大丈夫かと思いますが、同じように大きな被害を受ける事について、大学関係者は注意を払うべきかと思います。少なくてもサイバー攻撃を受けた際のBCP(ビジネス継続計画)には、紙とペン、電話を使った代替業務計画を考えた方が良いかと思います。

 

 

余談ですが、デンバーポストの記事の最後の方に書いてある部分が気になりました。

「従業員は、ITSによってクリアされるまで、Regisで構成されたコンピューターを使用したり、電源を入れたりしないように指示されています」と投稿は述べています。「リスクを最小限に抑えるため、従業員は、通知があるまでOffice365とOneDriveを使用しないことをお勧めします。その間、従業員は、接続のためにパソコンとホットスポットを持ち込むことができます。一方、チームは現在、キャンパスの重要なシステムの健全性の評価と復元に取り組んでいます。」

デンバーポスト記事より引用)※機械翻訳

 

短期間ではありますが、職員に対してBYOD(自分の端末やWifiルータ)の持ち込みが推奨されている様です。実務を考えると当然の処置とは言えますが、悪い事を考える人から考えると、このBYODの一時環境を使って悪いことができないかな・・・と考えるかも知れません。

 

 

 

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

ãã³ã¨å£ã®ã¤ã©ã¹ã


 

更新履歴

  • 2019年9月7日PM(予約投稿)