教育クラウドサービス「Classi」に不正アクセス - 全利用者のIDなど流出

教育機関向けクラウドサービス「Classi」が不正アクセスを受けたことがわかった。生徒や保護者、教諭など全利用者のIDや暗号化済みのパスワードが外部へ流出したおそれがある。

同サービスを展開するClassiによれば、4月5日に障害が発生してサービスを停止。ログなどサーバの状況を調査したところ、4月5日14時過ぎから同日16時半前にかけて外部から不正アクセスを受けていたことがわかった。

今回の不正アクセスにより、教員や生徒、保護者など同サービスの全利用者に関する約122万件のIDや、暗号化されたパスワードのほか、教諭が任意で入力した公開用の自己紹介文2031件を外部より取得されたおそれがある。攻撃を受けたサーバ内に不審なファイルなどは見つかっておらず、閲覧によるマルウェアの感染などのおそれはないという。

同社は本誌取材に対し、今回攻撃を受けた脆弱性の種類について「セキュリティ保護」を理由にコメントを避けた。また「暗号化されたパスワード」については、これらが「ハッシュ値」であるのか、またソルトの追加が行われていたかについても明らかにしていない。

同社は、必要な対策を講じたとして4月6日よりサービスを再開。パスワードそのものの流出は否定しているが、利用者のパスワードについてリセットを実施しており、ログイン時に変更を求めるとしている。

（Security NEXT - 2020/04/14 ） ツイート

PR

関連記事

人事データやメールの不正閲覧で職員を処分 - 奈良市
すかいらーく「テイクアウトサイト」 - クレカ情報流出の可能性
登録者にフィッシングメール、メアド流出か - フォトクリエイト
MDMサーバに不正アクセス、従業員情報が流出 - 三菱オートリース
サイトが閲覧不能に、個人情報流出のおそれも - 筋ジストロフィー協会
ホビー通販サイトが改ざん被害 - 個人情報流出の可能性
個人情報流出の可能性、委託先のゼロデイ攻撃被害が影響 - 法政大
郡上八幡の特産品扱う通販サイトが不正アクセス被害
機器から奪われた管理者アカウントで侵害受ける - ミネベアミツミ
ゼロデイ攻撃で個人情報流出の可能性 - 日鉄ソリューションズ