スパムメール踏み台事例|東北学院大学が教職員のメールアカウントを悪用された原因

スパムメール踏み台の概要

2023年8月3日、東北学院大学(以下、同大学)は自身の教職員用メールサーバーが不正アクセスを受け、11名の教職員アカウントが第三者に悪用されスパムメールの踏み台となり不審なメールが送信されたと発表しました。

東北学院大学より引用:不正アクセスを起因とする個人情報の漏えい及び迷惑メール送信について(ご報告とお詫び)

 

スパムメール踏み台の詳細

同大学によれば、不正アクセスは2023年6月27日に行われ、メールサーバーを通じて3,241通の怪しいメールが送信されました。また、被害を受けたメールアカウント2つからは、教職員や学外関係者の名前とアドレスを含む合計1,875件の個人情報が流出した可能性があります。

 

スパムメール踏み台の原因

本件の発表には「教職員11名のメールアカウントが悪用された」と記載はありますが、どの様に悪用されたか具体的な記載はございませんでした。

数名のメールアカウントが悪用されたというのであれば、アカウントのログイン情報の管理不足の可能性もありますが、11名のアカウントとなるとメールフォーム等に残る脆弱性を突かれた可能性もあります。

 

今後の対応

この問題が確認された後、東北学院大学はパスワードの変更などの対策をすぐに執行し、影響を受ける可能性のある人々に個別に通知しました。また、今後はパスワードの強化、多要素認証の導入、情報セキュリティ教育の提供などを通じて再発防止に取り組むと表明しています。

 

まとめ「メールアカウントのセキュリティ対策のためにも脆弱性診断を」

本件の原因については明確になっていませんが、人の問題とシステムの問題の2つが考えられます。人の問題については内部の教育などで対策していく必要がありますが、システムの問題は脆弱性診断を実施することで解決が出来ます。

WEBサイトに問合せフォームを設定されている大学は必ず診断を実施することをお薦め致します。

【この記事と関連する記事はコチラ】

なぜ大学がサイバー攻撃のターゲットにされるのか?教育機関を狙うサイバー攻撃の理由