東北工業大学のメールアカウントに不正アクセス、特定の条件下でクラウド認証サービスで設定したアクセス制御が機能せず

　学校法人東北工業大学は6月30日、同学のメールアカウントに外部から不正アクセスがあり、海外の不特定多数の宛先に迷惑メールを送信したことが判明したと発表した。

　これは2月24日に、同学で運用する情報システムにて海外からの不審なアクセスを検知したため調査を行ったところ、同学の客員研究員1名のメールアカウントに不正アクセスの痕跡を確認、何者かが当該アカウントになりすまし海外の不特定多数の宛先に迷惑メールを送信したことが判明したというもの。

　同学ではクラウド認証サービスを導入しており、同学の情報システムにアクセスする際は多要素認証が必要となるアクセス制御設定を行っていたが、調査の結果、特定の条件下でアクセスが行われた場合はクラウド認証サービスに設定したアクセス制御設定が機能せず、多要素認証を求めることなく認証されるという事象が確認されている。同学では今回の不正アクセスについて、何らかの手段で当該アカウントのメールアカウント情報を入手した第三者が、特定の条件に合致する条件下から当該アカウントになりすましてアクセスしたことが原因と考えている。

　なお同学では、同学のサーバから悪用された当該アカウントの情報が漏えいした痕跡がないことを確認した一方で、当該アカウントの所有者が外部サービスで当該アカウントの使いまわしをしていたことが判明したことから、第三者が何らかの手段で外部から得たアカウント情報を悪用し、当該アカウントになりすました可能性が高いとのこと。

　同学では発覚後に当該アカウントを停止、2月25日以降の迷惑メール送信がないことを確認している。

　同学では、当該アカウント停止までの間、第三者が当該メールアカウントにログイン可能な状態であり、メールボックスに保存された送受信メールが閲覧された可能性が否定できないことから、被害状況の確認も進めてきた。

　当該アカウントのメールボックス内で閲覧された可能性があるのは2020年2月24日から2021年2月24日までで、送信メールが学内24通、学外85通、受信メールが学内801通、学外654通で、個人情報は以下の通り。

・学内者
教職員：氏名、所属、メールアドレス、電話番号：600名分
学生：氏名、所属、メールアドレス、学生番号（一部学生の性別、国籍、出身学校等の情報含）：71名分

・学外者
氏名、所属、住所、電話番号、メールアドレス等：371名分

　同学では個人情報が漏えいした可能性のある学内・学外の対象者に、個別に連絡を行っている。

　また、当該アカウントによる迷惑メールの送信は2020年11月9日から2021年2月24日までで、送信数は19,830通（送信成功：538通、送信失敗：19,292通）、内容としては出会い系サイト（海外）への案内メール（英文）であった。

　同学では再発防止策として、クラウド認証サービスのアクセス制御設定動作変更を行い、アクセス制御設定が常に動作し設定内容に従い必ず多要素認証を求めるように動作を変更している。