Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

金沢大学のフィッシングメール被害

不正アクセス事件 調べてみた。

金沢大学もフィッシングメールにひっかかった様です。

www.security-next.com

 

■公式発表 フィッシングメールの発信及び個人情報の漏洩について(注意喚起とお詫び) | 金沢大学

 

金沢大学において、フィッシングメールによる被害で複数教職員のメールアカウントが乗っ取られた問題で、同大は個人情報が流出した可能性があることを明らかにした。

問題のフィッシングメールは、メールサービスの障害通知を装う手口で8月14日、9月20日に複数の教職員が受信25人がフィッシングサイトにパスワードを入力、アカウント情報を詐取された

今回の問題を受け、すでに同大では、7件のアカウントから4万1697件のフィッシングメールが送信されたことを公表、関係者へ注意喚起を行っていたが、その後被害にあったアカウントに保存されていたメールを閲覧され、個人情報が流出している可能性があることが判明した。

閲覧された可能性があるメールは251件で、学内外の関係者66人分の氏名とメールアドレスが記載されていた。そのうち53人については住所や電話番号も含まれる。

(Security Next記事より引用)

 

◆キタきつねの所感

当該のフィッシングメール文面が公開されてないので、何とも言えませんが、まず最初に思うのが、、教職員25名フィッシングメールにひっかかっている事自体が、日本の大学のセキュリティの甘さを物語っていると思います。当ブログでは大学の攻撃事例を何度も取り上げてきましたが、攻撃を受ける側の教職員(と学生・・は情報リテラシーが未熟なので仕方が無い部分もありますが)が、他大学で発生している事件と同じ事を自分たちがやっているという事が残念でなりません。

教育や啓蒙が効果を上げないなら、2要素(段階)認証を導入するのも1つでしょうし、それも無理ならば、言葉が乱暴になりますが、教育効果の無いご老体教授や偉い職員からネットワークログイン権限を取り上げるべき段階に来ているのかも知れません。

大学のOffice365はまだ狙われている - Fox on Security

 

事件を見ていきます。金沢大学では、アカンサスポータルが学生、卒業生、教職員向けのネットワークシステムとなっていると書かれていたので、今回はここを狙われた(正確にはフィッシングメール経由ですが)事になります。

f:id:foxcafelate:20191019093028p:plain

 

ヘルプ資料があったので覗いてみましたが、不正アクセス被害を受けた他の大学とは違って、ID番号は学籍番号に紐づいたものでは無かった様です。

f:id:foxcafelate:20191019092921p:plain

 

因みに、学生や教職員向けのヘルプ資料を掲載する大学は多いのですが、(事件調査の観点では大変ありがたいのですが)攻撃者視点で考えると、ここでID体系やパスワードの制約などを把握できる可能性がある、つまりサイバーキルチェーンで言う「偵察」の対象となる事には留意が必要です。

例えばどんな脆弱点を考えられるかと言うと・・・

 

学生向けヘルプページ(ログイン)でを見ると、親切丁寧な(学生向けの)説明がされているのですが、、メッセージ転送が設定できることがわかります。ここは結構怖い機能です。

f:id:foxcafelate:20191019093859p:plain

 

不正侵入が成功した後に、正規ユーザに気づかれない様にメッセージ転送用アドレスの設定に成功すれば(※できかを検証した訳ではありませんが)、当該正規ユーザのメール情報、添付ファイルなどは入手し放題となる可能性があります。

学生だとそんなに大した情報を持ってないですが、これが有名な教授のアカウントが侵害された場合は、政府系機関、自治体、他大学等との共同研究データ等、、影響が大きな資産を保有している事も十分に考えられるのです。

 

今回の事件を受けて、金沢大学のアカンサスポータル ログインには注意喚起のページが大きく出てました。パスワード管理についての啓蒙の仕方として、ログインの横にこうした掲示をするのは良い実装例だと思います。(※他大学にも参考になると思います)

f:id:foxcafelate:20191019094834p:plain

 

残念ながら、フィッシングメールは益々文面が巧妙になってきていますし、個人の使い回しているパスワードもどこか他のサイトで漏洩している確率は非常に高いかと思います。

大学側としてのフィッシングやパスワード啓蒙は、この程度が限界かも知れませんが、情報セキュリティ教育(情報処理の授業)の中で、事故事例(日本の大学はここ数年被害を受け続けている事やその影響)であったり、パスフレーズ(あるいはパスワード2.0)の重要性をもっと教えていくべきなのではないでしょうか。

 

 

※11/6(水)に日本プライバシー認証機構(JPAC)様からセミナーのお話を頂きました。国内のカード情報漏洩のみならず、海外のあまり知られてないカード情報漏洩事件などを解説したいと思ってます。良かったら下記開催案内もご覧いただけたら幸いです。

www.jpac-privacy.jp

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

 

f:id:foxcafelate:20191019091727p:plain


 

更新履歴

  • 2019年10月19日AM(予約投稿)