セキュリティの
学び場

今回の解説ニュース

大学教員のメールアカウントに不正アクセスがあり、スパムメールの踏み台にされ、個人情報が閲覧されてしまった可能性があるということです。メールのセキュリティ対策で気を付けるべきポイントについて説明します。

今回は2件のインシデントについて公表されており、いずれも海外のIPアドレスから不正アクセスがあり、大量のメール送信が行われてしまったということで、送られたのはスパムメールではないかと考えられます。スパムメールとは、メールを受信する側の意向を無視して無差別かつ大量にばらまかれるメールです。迷惑メールとしてフィルタされないようにするため、正規のメールアカウントを乗っ取ってスパムメールを送信することがあります。また、メールサーバには個人情報を含むメールが存在しており、片方の事案では大量のメールが保存されていたことから、調査に時間を要しているということです。

第三者にパスワードが漏えいした原因については明らかになっておらず、継続して調査されています。対策として、不正アクセスを受けたメールアカウントのパスワードを変更し、被害者にはメールで事実関係の説明と謝罪を行っています。また、再発防止策として、改めて個人情報保護や情報セキュリティの確保に関する教育研修を強化し、構成員の意識向上を図るとともに、メールサーバに多要素認証を導入して対策するということです。

学校という組織がサイバー攻撃の標的になりやすい背景

あくまでも一般論として大学のセキュリティを考えた場合、企業と比較するとセキュリティの強制力が弱いことが考えられます。主な理由は、組織の問題と予算の問題が挙げられます。

大学では、実験や研究の目的で、学部や研究室ごとにサーバやネットワークが構築されることが少なくありません。仮に大学に情報システム部門が存在していたとしても、セキュリティが全体に浸透することは簡単ではないことが考えられます。また、大学は企業と比較してセキュリティだけでなくIT予算は限られていることが一般的です。限られた予算の中でシステムが導入されることで、セキュリティ対策が十分ではない状況を生む一因となっている可能性があります。

それらのシステムがインターネットに接続された場合、直ちに無差別のサイバー攻撃にさらされてしまいます。結果として、攻撃者がスパムメールの踏み台に利用する目的においては、大学のシステムが都合のよい状態になっているのかもしれません。

被害に気付きにくい？迷惑メールの踏み台にされるとどうなる

迷惑メールの踏み台にされると、スパムのブラックリストに登録されたり、メールの配送に制限がかかったり、メールの送信自体に支障が出る可能性があります。また、メールサーバのログでは気が付くことができても、メールアカウントを乗っ取られた本人が気が付くことは難しいかもしれません。

通常のメール配送にも被害が及ぶ可能性

今回のインシデントのように、メールアカウントを乗っ取られて大量に迷惑メールを送信されてしまった場合、スパムメールと判定されるようなメールを大量に送信するメールサーバとして、ブラックリストに登録される可能性があります。このブラックリストはスパムメールを送信するメールサーバをリスト化したもので、すべてのメールサーバが参照することができます。そして、ブラックリストに掲載されているメールサーバからの配送は受け付けないことが一般的です。つまり、同じメールサーバを使った通常のメール配送にも制限がかかってしまう可能性があります。

踏み台にされた事に気付くことは容易ではない

また、メールアカウントを乗っ取られた本人は、踏み台にされた後にエラーメールや問い合わせなどで気が付くことができたとしても、自発的に気が付くことは難しいと考えられます。理由は、アカウントが使われているのはメールサーバで、パソコンのメールクライアントはいつも通りに使うことができるからです。つまり、踏み台にされたことへ気が付くためには、メールサーバのログを監視する必要があります。

メールアカウントが乗っ取られると、受信メールを盗み見られるだけではなく、様々な問題が発生することについて説明させていただきました。個人のメールアカウントでも影響範囲は組織全体に及ぶことを理解して、特にパスワードは慎重に設定するようにしましょう。