国公立大学6校にフィッシングメール、Office 365のアカウント情報が流出

2018年4月から6月にかけて、国公私立大学に対しフィッシングメールが送られ、「Microsoft Office 365」(オフィス365)のID・パスワードが盗まれる情報漏洩が相次いで起こっています。

現在被害が判明しているのは、弘前大学、横浜市立大学、富山県立大学、立命館大学、島根大学、沖縄県立看護大学の計6校。(2018年7月時点)
いずれも米マイクロソフトが提供するクラウドサービス「Office 365」を使用していました。

Office 365のログイン画面にそっくりなフィッシングサイト

フィッシングメールは、英文で「メールを送れなかった」という内容の送信エラーを装うもので、詳細を知るために本文中にあるURLをクリックすると、フィッシングサイトの偽のOffice 365のログイン画面に飛ばされます。ここでID・パスワードを入力してしまうことにより、第三者にアカウント情報が取得されてしまうというものでした。

この手口によって50名ほどのアカウント情報が流出し、盗まれたID・パスワードでOffice 365のメールサービスに不正ログインが行われ、教職員や学生のメールを外部転送するよう設定が変更されていたとのことです。
これにより、6大学で合計約1万2千人分もの個人情報が流出したと見られています。

これを受けて文部科学省は、6月27日付で全国の大学に対し、「先端技術情報を狙った標的型攻撃が行われるなど、重大な情報漏えいにつながる可能性がある」と注意喚起を行い、セキュリティ対策を強化するように促しています。
(参考/文科省が偽メール注意喚起、6大学で情報流出1万件超/SankeiBiz)

Office 365とPassLogicの連携でフィッシングサイトからアカウントを守る!

最近のフィッシングメールやフィッシングサイトは本物そっくりであるため、ユーザーが即座に偽物と見抜くのは難しいでしょう。特に今回のOffice 365のフィッシングサイトは、本物のログイン画面をコピーした可能性が高いと言われています。

このようなフィッシングサイトへの有効な対策方法のひとつとして、ログイン時の認証セキュリティの強化があげられます。ここでは、トークンレス・ワンタイムパスワードシステム「PassLogic」と連携した、Office 365の認証強化について紹介します。

PassLogicは、パスロジ株式会社が提供する企業・団体向けの認証システムです。業務システムへの認証を通常のID・パスワード認証から、トークンレス・ワンタイムパスワード認証や、TOTP型のワンタイムパスワード認証に置き換えて、認証セキュリティを強化するソフトウェアです。
>PassLogic製品紹介ページ

Office 365のログインが2段階認証に!不正アクセスも遮断

Office 365とPassLogicを連携すると、ログイン画面が2段階認証となり、「Office 365のID・パスワード」「PassLogicのワンタイムパスワード」の入力が必須になります。

>「Office 365-SP initiated-」ワンタイムパスワード連携動画(PC)※SAML2.0連携

>「Office 365-IdP initiated-」ワンタイムパスワード連携動画(PC)※SAML2.0連携

ユーザーがフィッシングサイトにアクセスした際、偽のOffice 365のログイン画面にはPassLogicのワンタイムパスワード画面(乱数表)が表示されません。
これにより、ユーザーは「いつもとログイン画面が違う=本物でない」と気が付くことができます。

また、もし気が付かずにOffice 365のIDとパスワードを入力してしまい、アカウント情報が流出したとしても、もうひとつのパスワードであるPassLogicはワンタイムパスワードなので、次にログインする際には答えが変わっています。
犯罪者が盗み出したアカウント情報でOffice 365にログインを試みても、乱数表のワンタイムパスワード が表示され(2段階認証)、不正アクセスを防ぐことができます。

Office 365とPassLogicの連携方法については、下記の記事にて紹介していますので、併せてご覧ください。
>Office 365とPassLogicをSAML連携

Office 365とPassLogicをSAML連携

フィッシングメール、フィッシングサイトには常日頃から注意する

フィッシング対策は、システムによる認証強化はもちろんですが、ユーザー一人ひとりが常日頃から注意を払ってサイトを利用することが重要です。

せぐなべでは、過去記事にてフィッシングサイトを見抜く方法を掲載、紹介しています。
>フィッシングメールの手口を知ろう
>フィッシング詐欺サイトを見抜くポイントの1つは「鍵マーク」!
>SSL証明書が導入されている偽サイトはこう見抜く!
>「サイバー防災訓練」って?

また、パスロジも正会員として参加しているフィッシング対策協議会では、ユーザー目線でどのようなことを注意すべきか紹介されています。
>マンガでわかるフィッシング詐欺対策 5 ヶ条 – フィッシング対策協議会

多機能な認証強化システム「PassLogic」

PassLogicは、Webブラウザだけで強固なワンタイムパスワードが利用できる「トークンレス・ワンタイムパスワード認証」や、ソフトウェアトークンやハードウェアトークンによる認証を導入するための本人認証システムです。認証用機器の追加導入が不要なため、コストを抑えることができます。

社内システムやクラウドサービスの認証に利用することで、場所と端末を限定せずに、業務システムへの認証を強化し、不正アクセスをシャットアウトします。
二要素認証、LDAPによるID管理サービスとの同期のほか、複数の業務システムへのシングルサインオンやアクセスコントロール機能も搭載しており、組織の業務システムの認証強化と業務・管理効率アップをワンストップで実現します。
無料の評価版もございますので、ぜひお気軽にお問合せください。

>PassLogic製品紹介ページ

>PassLogic資料請求・お問合せ先

※記事中に記載されている、会社名、製品名、ロゴ等は、各社の登録商標または商標です。