パスワードを忘れた? アカウント作成
16384455 story
情報漏洩

熊本県立大学で情報漏洩、2要素認証の例外扱いを突いたか? 19

ストーリー by nagazou
高齢者でもスマホ持っていないと厳しい時代 部門より
熊本県立大学は13日、学生や教職員などのべ5288人分の情報が漏洩したと発表した。同大名誉教授のメールアカウントが何者かに不正利用されたとみられている。今月7日に名誉教授から不審なメールが大量に送信されているとの連絡を受け、大学側が調査したところ、本人が把握していないメールが1276件送られていたという(朝日新聞)。

調査により8月30日以降、海外のサーバーを経由したログインが約1000件あったことも判明したとしている。同大では2要素認証を原則としているが、この名誉教授は携帯電話を所持していなかったことから、例外扱いになっていたとのこと。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2022年12月16日 14時21分 (#4381600)

    コストの関係とかでSMS使った2段認証のみだんだろうか。
    ハートウェアトークンに対応しとくなり大学がケータイ持たせるなりさせとけよとは思うが、
    その人一人だけとかだったんだろうなぁ…。
    #カードケータイ持たせとけ<使いにくい

    • by Anonymous Coward

      いや2段階認証自体の例外でしょ
      だからパスワードだけだったってことで

      • by Anonymous Coward

        携帯電話未所持が、本来2要素認証とすべきところを例外としてしていなかったって話なので。

        ハードウェアトークンに対応してたらそれもたせりゃいいし、
        2要素認証にどうしても携帯電話が必要なら大学が持たせるという手もあるにはあるよねぇと。

    • by Anonymous Coward

      2段階認証を採用してないとこなんて掃いて捨てるほどあるからあまり強調してもねぇ。
      パスワードの強度も低かったようなので、例外扱いするならせめてパスワードの強度には気を使うべきだったとは思う。

      >例外的に2要素認証を免除されていた上、他サイトでも使っている短いパスワードを設定していたという。
      https://www.itmedia.co.jp/news/articles/2212/14/news095.html [itmedia.co.jp]

    • by Anonymous Coward

      SMSなら普通のケータイでも行けるしOTP関係のアプリの問題かもしれん。

      まあそれならそれでモバイル端末貸与すればええやんという話。
      そんな例外認めるよりも少人数相手に貸与する方が良さそうよな……

      • by Anonymous Coward

        名誉教授…パスワード自体がアレ…例外運用…公立大学…

        めんどくさい案件だったとか
        事務方の怠慢とか
        公立大学ゆえのなかなか認めてもらえない予算とか

        いろいろ幻視できる案件ですよね

        • by Anonymous Coward

          偉い人から要求されたわけでもなく、対して気を回し過ぎたってこともあるしね

    • by Anonymous Coward

      ハートウェアトークンどころかただのTOTPでいいじゃん。スマホで使うのが基本みたいなところあるが、PC向けにも当然実装があるし

      • by Anonymous Coward

        ただの乱数表を印刷したものでも無いよりは良いよな。

    • by Anonymous Coward

      名誉教授って、定年退職した人でしょ。
      そんな人に大学が携帯電話を支給して使用料を負担するなんて、ありえない。

      せいぜい、ハードウェアトークンの貸与くらいだが、そんなところまでおもいつける大学の事務なんていないし、大学側に調達費用が発生するハードウェアトークンは導入しない。
      たとえ名誉教授側が携帯電話 (フィーチャーフォン) のみ持っていたとしても、大学側に送信料が発生する「SMSでトークン送信」のようなことは行わない。

  • by Anonymous Coward on 2022年12月16日 14時22分 (#4381601)

    なんでそれだけで情報漏洩になるんやと思ってソースを読んだら

    > 同大によると、漏洩した可能性があるのは同大の学生や教職員、公開講座受講者などのメールアドレスや、名誉教授のパソコンのアドレス帳に登録があった他大学や企業の関係者の連絡先、メールボックス内に残されていた教員の履歴書や人事資料など。

    とのこと。履歴書は不要になったら削除するんじゃなかったっけ?

    • by Anonymous Coward

      雇用関係にある人物の履歴書は不要ではないので通常残します。
      お祈り申し上げた方の履歴書は不要なので処分もしくは返送します。

      • by Anonymous Coward

        名誉教授が雇用しとったんか?

        • by Anonymous Coward

          本人が教員の履歴書や人事資料を残しておいたんか?
          送信履歴に残ってたから外部に送られたことが分かっただけやろ?

  • by Anonymous Coward on 2022年12月16日 14時44分 (#4381617)

    携帯持ってるか持ってないかではなく、厳しいセキュリティ制限を導入しながら「偉い人は例外」とかやる企業は多いけど、攻撃者はそんなことには配慮してくれない。

    むしろ「偉い人」のアカウントこそ不正利用されたら被害が大きいし、「偉い人」が不正を働いた場合の被害も大きい。

    • by Anonymous Coward

      まあ何事にも例外はあるけど、2要素認証を外すならそれをカバーする別の条件で守らないとな。

  • by Anonymous Coward on 2022年12月16日 14時48分 (#4381619)

    パスワードも弱いやつ使ってたのかな。

  • by Anonymous Coward on 2022年12月16日 15時25分 (#4381658)

    こんな状態
    本人のメールアカウントからから本人とメールのやり取りのある人に対し
    ウイルスメールもしくはウイルスのリンクが記載されたメールが発送される。
    受け取った人も本人のメールアドレスなので一部は信用し被害に会う。

    なりすましメールによるウイルス感染被害が再び増加しています!(注意喚起)
    https://www.ppc.go.jp/news/careful_information/impersonation/ [ppc.go.jp]

    対策として大学のネットワークにUTMが必要なのでは?
    https://www.hs-juniperproducts.jp/check/utm.html [hs-juniperproducts.jp]

    客員教授・名誉教授
    https://www.pu-kumamoto.ac.jp/about/professors/ [pu-kumamoto.ac.jp]

typodupeerror

人生unstable -- あるハッカー

読み込み中...