横浜市立大、教職員らに届いたメール3512通盗み出される フィッシングメールでパスワード詐取され
横浜市立大学の教職員などにフィッシングメールが届き、教職員などが利用している29のアドレスで受信したメール3512通が不正に外部に転送されていた。
横浜市立大学は6月6日、同大の教職員などにフィッシングメールが届き、メールに書かれたURLにアクセスしてID・パスワードを入力してしまった教職員のメールアドレス29件に届いたメール3512通が不正に外部に転送されていたことが分かったと発表した。不正に転送されていたメールには、差出人の氏名やメールアドレスなどの個人情報計5794件が含まれていたという。
同大の発表によると、不正に転送されていたメールに含まれていた個人情報は、差出人の氏名・メールアドレスが3512件、メールの添付ファイルや本文には、氏名・住所・電話番号が2266件、学生情報が16件という。フィッシングメールが届いていたのは4月24日〜5月23日で、届いたアドレス数は1037。メールが不正に転送されていた期間は5月15日〜30日。
攻撃者はメール管理者を装い、「送信サーバの障害によりメールを送信できなかった。再送信する場合は、以下のリンクをクリックしてください」という趣旨の英文メールを送付。リンク先は実際のクラウドメールサービス(Office 365)のログイン画面に酷似した偽サイトで、ID・パスワードを入力させて詐取していた。攻撃者は盗んだパスワードを使って正規のクラウドメールサービスに不正ログインし、自らが持つメールアドレスあてに受信メールが転送されるように設定し、メールを盗み出していたという。
同大のシステム管理者がフィッシングメールを検知したのは5月23日。同日中に、全教職員・学生に対してフィッシングメールへの注意喚起を行った。28日、フィッシングサイトにID・パスワードを入力してしまった職員から、「転送設定したアドレスにメールが届かない」との連絡が管理者にあり、不正転送が発覚。不正に転送されたメールアドレスは29、転送先アドレスは3つあったと分かった。
システム管理者は6月1日、全教職員と学生にIDパスワードの変更を依頼し、5日以降、パスワードを変更していないユーザーはログインできなくした。また、漏えいが確認された3512通のメールの差出人には謝罪文を送付。電話・メールでの臨時対応窓口を設置した。
同大は再発防止に向け、不審なメールへの対処法などの注意喚起や周知を図るとともに、セキュリティに関する研修の実施や、システム面の改善などを進めるとしている。
関連記事
- 阪大、不正アクセスで個人情報約8万件流出か 管理者ID盗まれた可能性
大阪大学の教育用システムが不正アクセスを受け、教職員や学生など約8万人分の個人情報が流出した可能性。 - 電通大に不正アクセス フィッシングメール280万件送信
電気通信大学のPC端末が不正アクセスを受け、学外の280万件のアドレスに向けてフィッシングメールを送信した。個人情報は保存されていなかった。 - 北大に不正アクセスの疑い 在学生・卒業生ら約11万件の情報流出か
北海道大学のサーバが不正アクセスを受けた可能性があり、在学生・卒業生の個人情報を含む約11万件の情報が流出したおそれがある。 - 東大から学生らの情報流出、最大3万6300件 マルウェア入り添付ファイル開いて感染
東大から最大3万6300件の情報が流出。マルウェアが含まれたメールの添付ファイルを職員が開いたことが原因という。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.