東北工業大学のメールアカウントに不正アクセス、特定の条件下でクラウド認証サービスで設定したアクセス制御が機能せず | ScanNetSecurity
2024.07.18(木)

東北工業大学のメールアカウントに不正アクセス、特定の条件下でクラウド認証サービスで設定したアクセス制御が機能せず

学校法人東北工業大学は6月30日、同学のメールアカウントに外部から不正アクセスがあり、海外の不特定多数の宛先に迷惑メールを送信したことが判明したと発表した。

インシデント・事故
トップページ
  • トップページ
  • リリース(不正アクセスによる迷惑メールの送信および、 個人情報漏えいの可能性に関するお詫びとお知らせ)
  • リリース(原因)
 学校法人東北工業大学は6月30日、同学のメールアカウントに外部から不正アクセスがあり、海外の不特定多数の宛先に迷惑メールを送信したことが判明したと発表した。

 これは2月24日に、同学で運用する情報システムにて海外からの不審なアクセスを検知したため調査を行ったところ、同学の客員研究員1名のメールアカウントに不正アクセスの痕跡を確認、何者かが当該アカウントになりすまし海外の不特定多数の宛先に迷惑メールを送信したことが判明したというもの。

 同学ではクラウド認証サービスを導入しており、同学の情報システムにアクセスする際は多要素認証が必要となるアクセス制御設定を行っていたが、調査の結果、特定の条件下でアクセスが行われた場合はクラウド認証サービスに設定したアクセス制御設定が機能せず、多要素認証を求めることなく認証されるという事象が確認されている。同学では今回の不正アクセスについて、何らかの手段で当該アカウントのメールアカウント情報を入手した第三者が、特定の条件に合致する条件下から当該アカウントになりすましてアクセスしたことが原因と考えている。

 なお同学では、同学のサーバから悪用された当該アカウントの情報が漏えいした痕跡がないことを確認した一方で、当該アカウントの所有者が外部サービスで当該アカウントの使いまわしをしていたことが判明したことから、第三者が何らかの手段で外部から得たアカウント情報を悪用し、当該アカウントになりすました可能性が高いとのこと。

 同学では発覚後に当該アカウントを停止、2月25日以降の迷惑メール送信がないことを確認している。

 同学では、当該アカウント停止までの間、第三者が当該メールアカウントにログイン可能な状態であり、メールボックスに保存された送受信メールが閲覧された可能性が否定できないことから、被害状況の確認も進めてきた。

 当該アカウントのメールボックス内で閲覧された可能性があるのは2020年2月24日から2021年2月24日までで、送信メールが学内24通、学外85通、受信メールが学内801通、学外654通で、個人情報は以下の通り。

・学内者
教職員:氏名、所属、メールアドレス、電話番号:600名分
学生:氏名、所属、メールアドレス、学生番号(一部学生の性別、国籍、出身学校等の情報含):71名分

・学外者
氏名、所属、住所、電話番号、メールアドレス等:371名分

 同学では個人情報が漏えいした可能性のある学内・学外の対象者に、個別に連絡を行っている。

 また、当該アカウントによる迷惑メールの送信は2020年11月9日から2021年2月24日までで、送信数は19,830通(送信成功:538通、送信失敗:19,292通)、内容としては出会い系サイト(海外)への案内メール(英文)であった。

 同学では再発防止策として、クラウド認証サービスのアクセス制御設定動作変更を行い、アクセス制御設定が常に動作し設定内容に従い必ず多要素認証を求めるように動作を変更している。
《ScanNetSecurity》

編集部おすすめの記事

特集

インシデント・事故 アクセスランキング

  1. イセトーへのランサムウェア攻撃で日本生命保険の個人情報が漏えい

    イセトーへのランサムウェア攻撃で日本生命保険の個人情報が漏えい

  2. 2021年の「不正アクセスによる情報流出の可能性に関するお詫びとお知らせ」を2024年9月30日に削除 ~ 丸紅パワー&インフラシステムズ

    2021年の「不正アクセスによる情報流出の可能性に関するお詫びとお知らせ」を2024年9月30日に削除 ~ 丸紅パワー&インフラシステムズ

  3. 新日本製薬にランサムウェア攻撃、全ての業務は通常通り稼働

    新日本製薬にランサムウェア攻撃、全ての業務は通常通り稼働

  4. 日本生命保険の元社員を威力業務妨害の容疑で逮捕

  5. ニシオホールディングスグループにサイバー攻撃、システム障害が発生

  6. ユニテックフーズに不正アクセス、サーバ上のファイルの拡張子が書き換えられる

  7. 個人情報保護委員会、東京電力グループ 3 社に行政指導

  8. 映画特別試写会の応募専用フォームで個人情報が閲覧可能に

  9. 浪江町職員が不正アクセスで逮捕

  10. KADOKAWA グループへのランサムウェア攻撃、角川ドワンゴ学園に関する一部情報も漏えい

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×