熊本県立大学で情報漏洩、2要素認証の例外扱いを突いたか? 19
ストーリー by nagazou
高齢者でもスマホ持っていないと厳しい時代 部門より
高齢者でもスマホ持っていないと厳しい時代 部門より
熊本県立大学は13日、学生や教職員などのべ5288人分の情報が漏洩したと発表した。同大名誉教授のメールアカウントが何者かに不正利用されたとみられている。今月7日に名誉教授から不審なメールが大量に送信されているとの連絡を受け、大学側が調査したところ、本人が把握していないメールが1276件送られていたという(朝日新聞)。
調査により8月30日以降、海外のサーバーを経由したログインが約1000件あったことも判明したとしている。同大では2要素認証を原則としているが、この名誉教授は携帯電話を所持していなかったことから、例外扱いになっていたとのこと。
調査により8月30日以降、海外のサーバーを経由したログインが約1000件あったことも判明したとしている。同大では2要素認証を原則としているが、この名誉教授は携帯電話を所持していなかったことから、例外扱いになっていたとのこと。
例外… (スコア:0)
コストの関係とかでSMS使った2段認証のみだんだろうか。
ハートウェアトークンに対応しとくなり大学がケータイ持たせるなりさせとけよとは思うが、
その人一人だけとかだったんだろうなぁ…。
#カードケータイ持たせとけ<使いにくい
Re: (スコア:0)
いや2段階認証自体の例外でしょ
だからパスワードだけだったってことで
Re: (スコア:0)
携帯電話未所持が、本来2要素認証とすべきところを例外としてしていなかったって話なので。
ハードウェアトークンに対応してたらそれもたせりゃいいし、
2要素認証にどうしても携帯電話が必要なら大学が持たせるという手もあるにはあるよねぇと。
Re: (スコア:0)
2段階認証を採用してないとこなんて掃いて捨てるほどあるからあまり強調してもねぇ。
パスワードの強度も低かったようなので、例外扱いするならせめてパスワードの強度には気を使うべきだったとは思う。
>例外的に2要素認証を免除されていた上、他サイトでも使っている短いパスワードを設定していたという。
https://www.itmedia.co.jp/news/articles/2212/14/news095.html [itmedia.co.jp]
Re: (スコア:0)
SMSなら普通のケータイでも行けるしOTP関係のアプリの問題かもしれん。
まあそれならそれでモバイル端末貸与すればええやんという話。
そんな例外認めるよりも少人数相手に貸与する方が良さそうよな……
Re: (スコア:0)
名誉教授…パスワード自体がアレ…例外運用…公立大学…
めんどくさい案件だったとか
事務方の怠慢とか
公立大学ゆえのなかなか認めてもらえない予算とか
いろいろ幻視できる案件ですよね
Re: (スコア:0)
偉い人から要求されたわけでもなく、対して気を回し過ぎたってこともあるしね
Re: (スコア:0)
ハートウェアトークンどころかただのTOTPでいいじゃん。スマホで使うのが基本みたいなところあるが、PC向けにも当然実装があるし
Re: (スコア:0)
ただの乱数表を印刷したものでも無いよりは良いよな。
Re: (スコア:0)
名誉教授って、定年退職した人でしょ。
そんな人に大学が携帯電話を支給して使用料を負担するなんて、ありえない。
せいぜい、ハードウェアトークンの貸与くらいだが、そんなところまでおもいつける大学の事務なんていないし、大学側に調達費用が発生するハードウェアトークンは導入しない。
たとえ名誉教授側が携帯電話 (フィーチャーフォン) のみ持っていたとしても、大学側に送信料が発生する「SMSでトークン送信」のようなことは行わない。
本人が把握していないメールが1276件送られていた (スコア:0)
なんでそれだけで情報漏洩になるんやと思ってソースを読んだら
> 同大によると、漏洩した可能性があるのは同大の学生や教職員、公開講座受講者などのメールアドレスや、名誉教授のパソコンのアドレス帳に登録があった他大学や企業の関係者の連絡先、メールボックス内に残されていた教員の履歴書や人事資料など。
とのこと。履歴書は不要になったら削除するんじゃなかったっけ?
Re: (スコア:0)
雇用関係にある人物の履歴書は不要ではないので通常残します。
お祈り申し上げた方の履歴書は不要なので処分もしくは返送します。
Re: (スコア:0)
名誉教授が雇用しとったんか?
Re: (スコア:0)
本人が教員の履歴書や人事資料を残しておいたんか?
送信履歴に残ってたから外部に送られたことが分かっただけやろ?
セキュリティに「例外」を設けてはいけない (スコア:0)
携帯持ってるか持ってないかではなく、厳しいセキュリティ制限を導入しながら「偉い人は例外」とかやる企業は多いけど、攻撃者はそんなことには配慮してくれない。
むしろ「偉い人」のアカウントこそ不正利用されたら被害が大きいし、「偉い人」が不正を働いた場合の被害も大きい。
Re: (スコア:0)
まあ何事にも例外はあるけど、2要素認証を外すならそれをカバーする別の条件で守らないとな。
不名誉教授やん (スコア:0)
パスワードも弱いやつ使ってたのかな。
Re:不名誉教授やん (スコア:1)
https://www.itmedia.co.jp/news/articles/2212/14/news095.html [itmedia.co.jp]
使ってたみたいですね~
Emotetでは? (スコア:0)
こんな状態
本人のメールアカウントからから本人とメールのやり取りのある人に対し
ウイルスメールもしくはウイルスのリンクが記載されたメールが発送される。
受け取った人も本人のメールアドレスなので一部は信用し被害に会う。
なりすましメールによるウイルス感染被害が再び増加しています!(注意喚起)
https://www.ppc.go.jp/news/careful_information/impersonation/ [ppc.go.jp]
対策として大学のネットワークにUTMが必要なのでは?
https://www.hs-juniperproducts.jp/check/utm.html [hs-juniperproducts.jp]
客員教授・名誉教授
https://www.pu-kumamoto.ac.jp/about/professors/ [pu-kumamoto.ac.jp]