2要素認証の除外アカウントに大量の不正ログイン - 熊本県立大

くわえてMicrosoft 365の同大ドメインに登録されている教職員や学生、公開講座受講者など同大関係者3537人に関する氏名やメールアドレスなどの連絡先情報なども同アカウントより参照できるため、窃取された可能性がある。

窃取された可能性があるメールや添付ファイルに、学術研究上の機密情報などは含まれていなかった。

問題のアカウントには、数文字の短い簡単なパスワードが設定されており、他サイトにおいてアカウントの使い回しが行われていた。さらに名誉教授がスマートフォンなどを所持していないことを理由に、原則必要とされる2要素認証の設定を除外していた。

同大では、同様の理由で数件のアカウントで2要素認証の除外設定を行っていたが、他アカウントにおける被害は確認されていないとしている。

今回の問題を受けて同大は、教職員や学生に経緯を報告するとともに謝罪した。アドレス帳の登録先には名誉教授からメールで報告と謝罪を行ったという。今後は二要素認証の除外を認めない方針。また個人情報や過去にやり取りしたメールの管理について関係者へ注意喚起を行っている。

（Security NEXT - 2022/12/16 ）ツイート