2要素認証の除外アカウントに大量の不正ログイン - 熊本県立大

くわえてMicrosoft 365の同大ドメインに登録されている教職員や学生、公開講座受講者など同大関係者3537人に関する氏名やメールアドレスなどの連絡先情報なども同アカウントより参照できるため、窃取された可能性がある。

窃取された可能性があるメールや添付ファイルに、学術研究上の機密情報などは含まれていなかった。

問題のアカウントには、数文字の短い簡単なパスワードが設定されており、他サイトにおいてアカウントの使い回しが行われていた。さらに名誉教授がスマートフォンなどを所持していないことを理由に、原則必要とされる2要素認証の設定を除外していた。

同大では、同様の理由で数件のアカウントで2要素認証の除外設定を行っていたが、他アカウントにおける被害は確認されていないとしている。

今回の問題を受けて同大は、教職員や学生に経緯を報告するとともに謝罪した。アドレス帳の登録先には名誉教授からメールで報告と謝罪を行ったという。今後は二要素認証の除外を認めない方針。また個人情報や過去にやり取りしたメールの管理について関係者へ注意喚起を行っている。

（Security NEXT - 2022/12/16 ） ツイート

PR

関連記事

チャットアプリの従業員アカウントに不正アクセス - フィッシングに悪用
元従業員が個人情報を退職後にダウンロード - ユナイテッドアローズ
高校教員の個人情報含むメールを誤送信 - 香川県教委
文理学部の掲示板サイトが改ざん、外部サイトに誘導 - 日大
サーバがランサム被害、影響など詳細を調査 - 丸高興業
「セキュリティ10大脅威2026 」組織編の解説書を公開 - IPA
「MS Edge」も2度にわたり更新 - ゼロデイ脆弱性を解消
「Wing FTP Server」の脆弱性悪用を確認 - 米当局が注意喚起
システム設定不備で別事業者の売上精算書を誤送信 - 兵庫県
再委託先にサイバー攻撃か、帳票発行が停止 - 中部電力関連3社