多要素認証回避しメルアカ強奪、東北工業大学で被害発生



画像:東北工業大学より引用

東北工業大学は2021年6月30日、同大学に所属する客員研究員のメールアドレスが不正アクセスを受けたことにより、アカウント内の情報が不正閲覧されたほか、不特定多数の宛先に大量のスパムメールを送信したと明らかにしました。

発表によると、2021年2月24日に大学が運用するシステムに、不審な通信を検出。同大学がこれを調査したところ、客員研究員のメールアカウントに対する外部からの不審なアクセスが確認されたとのことです。

同大学は不正アクセスを防ぐべく、被害を受けたメールアカウントの停止措置を講じました。しかしながら、既に攻撃者はメールアカウントを悪用して主に海外の宛先に対するスパムメールを送信していた事実が判明。さらにアカウント内に記録されていたメールアドレスや本文内容が不正閲覧された可能性も浮上したため、事実の公表に踏み切りました。

多要素認証の設定に不備

東北工業大学は不正アクセスを受けるに至った原因として、アクセス制御設定の不備およびパスワード管理の問題点を指摘しています。

大学では外部からのアクセスを制限するため、クラウド型多要素認証システムを導入していました。しかし、このアクセス制限は特定の状況下でアクセスした場合、多要素認証を回避することができる設定になっており、これを攻撃者に利用されたとのこと。

また、被害を受けた研究員はアカウントにパスワードを設定する際、他のサービスで利用していたものを使いまわしていたとのこと。大学は攻撃者が何らかの手段でこのパスワードを入手し、悪用したものと見ています。

なお、同大学は事案発生を受け、制御システムの設定を見なすなどして、再発防止に繋げる方針です。

参照不正アクセスによる迷惑メールの送信および、 個人情報漏えいの可能性に関するお詫びとお知らせ