セキュリティブログ
【IPA/フィッシングメール対策】大学におけるウェブメールサービスを狙ったメール攻撃に注意
2018.11.01
大学さん関連の事件が続いたことを受けて、IPAさんから「フィッシングメールに注意喚起」がでました。
① ウェブメールサービスのシステム管理者を装ったメールが届く
大学で利用しているウェブメールサービスのシステム管理者を装い、送信エラーやメールボックスがいっぱいであるなどと記載されたメールが、大学の学生や教職員あてに送られてきます。
当機構で確認した範囲では、被害にあった大学で利用されていたウェブメールサービスの種類は、複数ありました(Office365、Active!Mail、DeepMail、Gmailなど)。
② メール内のURLからウェブメールサービスの偽ログインページに誘導され、ID・パスワードを入力
メールに記載されているURLをクリックすると、ウェブメールサービスの正規のログインページを模した偽ログインページに誘導されます。そのページで利用者がIDとパスワードを入力してしまうと、それらが詐取されます。
当機構への届出情報では、偽ログインページは、ウェブメールサービスの英語版の標準デザインに酷似していた事例や、校章やロゴを使用した大学独自のデザインに模してある事例など、本物のログインページに似せて作られていました。
※ここまで
大学さん側で注意すべき点は上記(とリンク)をご確認いただくとして、、
IDとパスワードが盗られてしまうと、他のアカウントが片っ端から開けられれちゃうんですよね。
・IDとパスワードは使い回ししないこと(簡単なものは避けること)
・自身のID、パスワードが漏えいしたと思しき事象が発生した場合は速やかに当該ウェブサービスのID、パスワードを変更すること
明治大学さんからも10月24日に発表があり、8月に攻撃をされたのち、ID、パスワード変更後にさらに攻撃された、とする内容でした。
明治大学さんの正々堂々としたスタンスは大好きなんですけれども、ID、パスワードは「しっかり難しいもの」というところが必要かと考えます。いずれこのあたり、、ワンタイムパッド(1回使い切り)にしていかないといけないだろうなあ、と思料するものです。