首都大のNASが踏み台に、スパム10万通送信 管理パスワード初期値のまま運用
首都大のNASが踏み台に使われ、学外へ約10万通の迷惑メールを送っていたことが分かった。NASのFTP共有は切ってあったが、管理者パスワードが初期値のまま運用していたという。
首都大学東京は2月2日、学内のNAS(ネットワーク接続ストレージ)が踏み台に悪用され、学外へ約10万通の迷惑メールを送っていたことが分かったと発表した。NASに格納していた個人情報への不正アクセスの形跡は確認していないが、流出の可能性は否定しきれないという。
同大学は1月19日に、学生や教員らのべ約5万1000人分の個人情報を保存したNASが外部に公開(FTP共有)された状態になっていたことで情報が流出した可能性があると発表したばかり。
同大の報告によると1月27日、南大沢キャンパス(東京都八王子市)内の社会福祉学教室が管理するNASから大量のスパムメールが送信されていることを、学術情報基盤センターが検知。すぐにNASをネットワークから切り離し、被害状況を調べたところ、同日午後3時6分から4時37分の約1時間半の間に約10万通送信されていたという。
NASはFTP共有を無効にしていたが、管理者パスワードが初期値のままだった。格納していた個人情報(主に学生・教員の住所・氏名・電話番号のべ約650人分)を含むデータの多くにパスワードなどのアクセス制限もかけていなかった。
同大は「緊急対応」として2月2日、南大沢キャンパスの学外からの通信を遮断した。
学内の調査では、1月22日以降NASに外部からアクセスされた形跡はなかったが、警察に被害状況を報告した上、専門業者に依頼してより詳細な調査を進めている。同大は、Webサイトや学内掲示などで説明を行うとともに、学内の情報セキュリティ対策の強化に早急に取り組むとしている。
関連記事
- 首都大学東京、学生ら5万1000人分の個人情報が流出した可能性 NASが外部に公開状態
首都大学東京の学生や教員らのべ約5万1000人分の個人情報が流出した可能性。データを保存していたNASが外部に公開された状態のままになっていたという。 - シャドーITとはこれでおさらば!? 企業をむしばむ無断使用ツールを「断捨離」する3つのステップ
重大なセキュリティ事故などを引き起こす恐れがある「シャドーIT」問題。連載を締めくくる今回は、その具体的な対策方法について3つのステップで解説しよう。 - シャドーIT問題を増長させる「インフラの重力に魂を縛られた人々」と「ニュータイプ社員」とは?
重大なセキュリティ事故などを引き起こす恐れがある「シャドーIT」問題。今回は、企業が自社に潜むシャドーITを発見するポイントを「ニュータイプ社員」「インフラの重力に魂を縛られた人々」という2つのキーワードを用いて解説しよう。 - クラウドから新製品情報がごっそり流出? 勝手ツールが企業にもたらす“悲劇”
企業が管理していないITツールを仕事で勝手に使う「シャドーIT」が広がりつつある。これによって企業が陥る“悲劇”とは? 今回は実際に想定されるケースをもとに、どの企業でも起こりうる最悪のパターンを紹介したい。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.