2要素認証の除外アカウントに大量の不正ログイン - 熊本県立大

くわえてMicrosoft 365の同大ドメインに登録されている教職員や学生、公開講座受講者など同大関係者3537人に関する氏名やメールアドレスなどの連絡先情報なども同アカウントより参照できるため、窃取された可能性がある。

窃取された可能性があるメールや添付ファイルに、学術研究上の機密情報などは含まれていなかった。

問題のアカウントには、数文字の短い簡単なパスワードが設定されており、他サイトにおいてアカウントの使い回しが行われていた。さらに名誉教授がスマートフォンなどを所持していないことを理由に、原則必要とされる2要素認証の設定を除外していた。

同大では、同様の理由で数件のアカウントで2要素認証の除外設定を行っていたが、他アカウントにおける被害は確認されていないとしている。

今回の問題を受けて同大は、教職員や学生に経緯を報告するとともに謝罪した。アドレス帳の登録先には名誉教授からメールで報告と謝罪を行ったという。今後は二要素認証の除外を認めない方針。また個人情報や過去にやり取りしたメールの管理について関係者へ注意喚起を行っている。

（Security NEXT - 2022/12/16 ） ツイート

PR

関連記事

戸籍届書をFAXで誤送信、宛先選択ミスで - 天草市
カーインテリア通販サイトで侵害を確認 - 詳細を調査
インシデント件数が1.3倍に - 「フィッシング」の増加目立つ
「My SoftBank」上で個人情報など誤表示 - メールで取り違えも
県立美術館のSNSアカウントに複数の不正投稿 - 鳥取県
ハラスメント対策情報サイトが改ざん、個人情報流出は否定 - 厚労省
セキュリティアップデート「Firefox 147.0.2」が公開
複数Fortinet製品に脆弱性、すでに悪用も - 更新や侵害有無の確認を
「Chrome」にアップデート - 実装不備の脆弱性1件を修正
結核健診の受診票が所在不明、庁内授受中に紛失 - 大阪市