横浜市立大、教職員らに届いたメール3512通盗み出される フィッシングメールでパスワード詐取され

[ITmedia]

　横浜市立大学は6月6日、同大の教職員などにフィッシングメールが届き、メールに書かれたURLにアクセスしてID・パスワードを入力してしまった教職員のメールアドレス29件に届いたメール3512通が不正に外部に転送されていたことが分かったと発表した。不正に転送されていたメールには、差出人の氏名やメールアドレスなどの個人情報計5794件が含まれていたという。

ニュースリリースより

フィッシングメールの文面（横浜市立大学が5月23日に公表した注意喚起より）

　同大の発表によると、不正に転送されていたメールに含まれていた個人情報は、差出人の氏名・メールアドレスが3512件、メールの添付ファイルや本文には、氏名・住所・電話番号が2266件、学生情報が16件という。フィッシングメールが届いていたのは4月24日〜5月23日で、届いたアドレス数は1037。メールが不正に転送されていた期間は5月15日〜30日。

　攻撃者はメール管理者を装い、「送信サーバの障害によりメールを送信できなかった。再送信する場合は、以下のリンクをクリックしてください」という趣旨の英文メールを送付。リンク先は実際のクラウドメールサービス（Office 365）のログイン画面に酷似した偽サイトで、ID・パスワードを入力させて詐取していた。攻撃者は盗んだパスワードを使って正規のクラウドメールサービスに不正ログインし、自らが持つメールアドレスあてに受信メールが転送されるように設定し、メールを盗み出していたという。

　同大のシステム管理者がフィッシングメールを検知したのは5月23日。同日中に、全教職員・学生に対してフィッシングメールへの注意喚起を行った。28日、フィッシングサイトにID・パスワードを入力してしまった職員から、「転送設定したアドレスにメールが届かない」との連絡が管理者にあり、不正転送が発覚。不正に転送されたメールアドレスは29、転送先アドレスは3つあったと分かった。

　システム管理者は6月1日、全教職員と学生にIDパスワードの変更を依頼し、5日以降、パスワードを変更していないユーザーはログインできなくした。また、漏えいが確認された3512通のメールの差出人には謝罪文を送付。電話・メールでの臨時対応窓口を設置した。

　同大は再発防止に向け、不審なメールへの対処法などの注意喚起や周知を図るとともに、セキュリティに関する研修の実施や、システム面の改善などを進めるとしている。