Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

教職員29アカウントが乗っ取り被害、メール3500件を攻撃者へ転送 - 横浜市立大

横浜市立大学は、教職員が利用しているクラウドサービスのIDとパスワードがフィッシング攻撃により詐取され、受信したメールが外部へ意図せず転送され、外部へ流出していたことを明らかにした。

20180607_yc_001.jpg
29件のメールアカウントで被害が発生した横浜市立大

同大で利用するクラウドメールサービスのIDとパスワードが、フィッシング攻撃により詐取されたもの。これらアカウントでは受信したメールが外部へ転送されるよう設定されていた。

同大によれば、メールの管理者を装って「送信サーバの障害によりメールの送信ができません」などとだまし、クラウドメールサービスのログイン画面を模した偽サイトへ誘導するフィッシングメールが、4月24日から5月23日にかけて1037件のメールアカウントへ届いたという。そのうち29件のアカウントで、誤ってIDやパスワードを入力、詐取されていた。

5月28日に同大教員から転送設定しているメールアドレスへメールが届かないとの連絡があり、外部への不正なメール転送が発覚。他教職員や学生に対してメール転送の設定状況を確認するよう求めたところ、29件のメールアカウントで意図せず転送されていることが判明した。

不正に転送されたメールは3512件にのぼり、メール送信者の氏名とメールアドレス3512件のほか、本文や添付ファイルに記載された氏名や住所、電話番号2266件、学生情報16件のあわせて5794件の個人情報が含まれる。

同大では、5月23日の時点でフィッシングメールを検知しており、同日にシステム管理者からすべての教職員と学生に注意喚起を行っていたという。

同大では、全教職員と学生に対し、パスワードを変更しメールの転送設定を停止するよう通知。パスワードの有効期限を設定し、一定期間変更しないと無効になり、メールサービスにログインできないよう措置を講じた。

また、転送されたメールの送信者に対しメールで謝罪を行い、問い合わせ窓口を設置するなど対応を進めている。

(Security NEXT - 2018/06/07 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

経産省のサイバーセキュリティ課をかたる詐欺電話に注意
「経産省サイバーセキュリティ課」をかたる偽電話が急増
「auじぶん銀行」のフィッシング攻撃 - 取引確認などを偽装
地銀利用者を狙うフィッシング - 今度は「ちばぎん」偽装
W杯関係者を狙うサイバー攻撃、10月より大幅増加
研究者狙うサイバー攻撃、講演や取材の依頼を偽装
YouTubeから誘導、ライブ配信サービス装う詐欺サイトに警戒を
りそな銀装うフィッシング - クレカ情報の入力求める
KDDIを偽装し、「料金未払い」などとだますSMSに注意 - 支払方法の指定が「iTunesギフトカード」
都食品安全啓発チラシの二次元コード、不正サイト誘導のおそれ