2要素認証の除外アカウントに大量の不正ログイン - 熊本県立大

くわえてMicrosoft 365の同大ドメインに登録されている教職員や学生、公開講座受講者など同大関係者3537人に関する氏名やメールアドレスなどの連絡先情報なども同アカウントより参照できるため、窃取された可能性がある。

窃取された可能性があるメールや添付ファイルに、学術研究上の機密情報などは含まれていなかった。

問題のアカウントには、数文字の短い簡単なパスワードが設定されており、他サイトにおいてアカウントの使い回しが行われていた。さらに名誉教授がスマートフォンなどを所持していないことを理由に、原則必要とされる2要素認証の設定を除外していた。

同大では、同様の理由で数件のアカウントで2要素認証の除外設定を行っていたが、他アカウントにおける被害は確認されていないとしている。

今回の問題を受けて同大は、教職員や学生に経緯を報告するとともに謝罪した。アドレス帳の登録先には名誉教授からメールで報告と謝罪を行ったという。今後は二要素認証の除外を認めない方針。また個人情報や過去にやり取りしたメールの管理について関係者へ注意喚起を行っている。

（Security NEXT - 2022/12/16 ） ツイート

PR

関連記事

一部工事注文書控が所在不明、誤廃棄の可能性 - カンセキ
法人会員情報が流出、脆弱性の点検過程から発覚 - 関西エアポート
セイコーエプソン製プリンタドライバに脆弱性 - 日本語以外の環境に影響
DDoS攻撃が件数減、一方100Gbps超の攻撃も - IIJレポート
Google、ブラウザ最新版「Chrome 136」を公開 - 8件のセキュリティ修正
米当局、悪用が確認された脆弱性4件について注意喚起
海外子会社がランサム被害、影響など詳細を調査 - 淀川製鋼所
システム障害、調査でランサムウェアが原因と判明 - 近鉄エクスプレス
パッチや緩和策の適用、メモリ保護を統合した脆弱性対策製品
従業員がサポート詐欺被害、個人情報流出か - 住友林業クレスト