2要素認証の除外アカウントに大量の不正ログイン - 熊本県立大

くわえてMicrosoft 365の同大ドメインに登録されている教職員や学生、公開講座受講者など同大関係者3537人に関する氏名やメールアドレスなどの連絡先情報なども同アカウントより参照できるため、窃取された可能性がある。

窃取された可能性があるメールや添付ファイルに、学術研究上の機密情報などは含まれていなかった。

問題のアカウントには、数文字の短い簡単なパスワードが設定されており、他サイトにおいてアカウントの使い回しが行われていた。さらに名誉教授がスマートフォンなどを所持していないことを理由に、原則必要とされる2要素認証の設定を除外していた。

同大では、同様の理由で数件のアカウントで2要素認証の除外設定を行っていたが、他アカウントにおける被害は確認されていないとしている。

今回の問題を受けて同大は、教職員や学生に経緯を報告するとともに謝罪した。アドレス帳の登録先には名誉教授からメールで報告と謝罪を行ったという。今後は二要素認証の除外を認めない方針。また個人情報や過去にやり取りしたメールの管理について関係者へ注意喚起を行っている。

（Security NEXT - 2022/12/16 ） ツイート

PR

関連記事

「Nessus」「Nessus Agent」に脆弱性 - 任意ファイル削除のおそれ
「Apache MINA」に深刻な脆弱性2件 - アップデートを
米当局、脆弱性6件を悪用カタログに追加
利用者ページにサイバー攻撃、詳細を調査 - 消費者金融事業者
検針員宅に空き巣、金庫から検針機器が盗難 - 鹿児島市
医療機関関係者向けの感染症週報速報メールで誤送信 - 新潟県
Cisco製FWにバックドア「FIRESTARTER」 - 新手法で永続化、侵害確認を
「Cisco ASA/FTD」脆弱性がDoS攻撃の標的に - 修正を再度呼びかけ
「MS Edge」にセキュリティ更新 - 脆弱性2件を修正
「DeepL」のChrome向け拡張機能にXSS脆弱性