SP Intelligence Report

本サイトは、株式会社ソースポッドが実施している
OSINTによる漏洩情報に関する調査レポート
を掲載しています。

大学のアカウント漏洩における調査

国内801大学のアカウント漏洩
に関する調査結果を公開しております。

最新情報サマリ2020年11月10日更新

  • 国内801大学の累計漏洩件数 : 1,487,811 件
  • 1大学あたりの平均漏洩数 : 1,857 件
  • 2019年1月のハイパーピーク時に、累計漏洩件数の約80%が漏洩
教育機関に関するサイバーセキュリティの現状
学内でID(メールアドレス)を支給された学生や教員、職員は、日常で利用している個人用アカウントとは別に、学内IDによって学内システムや外部サービスにアカウントを登録し、利用することになります。また、PCやスマートデバイス等の端末に関わらず、学内IDでログインしたままインターネットを利用する時間が増え、情報漏洩にあった際に学内IDによる不正アクセスからの被害が発生するケースが増えています。本レポートを学内への注意喚起、情報漏洩対策の一助としてご活用いただければ幸いです。

2020年11月度調査レポート2020年11月10日更新

調査対象

国内801大学の管理するドメインアカウント

調査前提条件

・調査アカウント対象は、個人アカウントではなく、組織アカウントとする。
・漏洩チェック範囲は、ダークウェブを含むインターネット上に公開され、不特定多数が確認できるものとする。
・漏洩チェック期間は、2008年7月から2020年9月までとする。
・漏洩取得内容は、ID(メールアドレス)とパスワードが漏洩している年月と数のみとする。
※漏洩年月、数以外の情報は取得できない独自のチェックシステムを利用。
・大学における漏洩を判別する情報は、IDとなるメールアドレスのドメイン名で実施するものとする。
※漏洩アカウントが実際に使われているアカウントとの同一性や存在有無は不明ですが、同時期かつ同場所で漏洩している全く同様のアカウントは重複を排除。

調査結果

国内801大学の累計漏洩件数 : 1,487,811 件
1大学あたりの平均漏洩数 : 1,857 件

調査結果詳細

大学漏洩アカウント数 年別集計

大学漏洩アカウント数 年別集計

大学漏洩アカウント数 年別推移

大学漏洩アカウント数 年別推移

2019年1月に、累計漏洩件数の約80%もの漏洩が確認されている。ダークウェブ上で同時多発的に漏洩情報が公開されたことが影響し、この後に不正アクセスによる被害も発生している。

大学アカウント漏洩頻度 年別集計

大学アカウント漏洩頻度 年別集計

2008年7月からの2020年9月までに漏洩した月数:54件
年間平均漏洩月数:約4ヶ月

考察

学内IT環境の防御、メールアドレス所有者の意識向上だけでは情報漏洩を防ぎきれない。外部サービスへのサイバー攻撃によって学内アカウントが漏洩するケースが増加

今回の調査では、大学別の抽出は行わなかったが、1大学あたりの平均漏洩件数1,857件というのは、企業でいうと攻撃対象になりやすいグローバルに展開する超大手企業レベルと言える。つまり、法人・組織において、大学のアカウント漏洩件数はかなり多いということになる。
大学でのIT活用が進み、職員、学生ともにメールアドレスが付与されることが一般的になったが、その自己アカウント管理の重要性の理解についてはまちまちであり、また自法人・組織でのセキュリティ意識の教育を十分に行っていても、外部サービス提供者へのサイバー攻撃によって、情報が漏洩することもある。 2019年の突出した漏洩は、
・2019年2月 某金融協会の不正アクセス、約2,000件の個人情報流出
・2019年4月 某服飾ECサイトへの不正アクセス、約2,200件の個人情報流出
・2019年5月 某大手電機店ECサイトへの不正アクセス、約37,000件の個人情報流出
・2019年5月 某大手服飾ECサイトへのリスト型攻撃、約46,100件の個人情報流出
・2019年9月 某情報サイトへの不正アクセス、約170,000件の個人情報流出
ほか、多くの企業サーバーへの不正アクセスによってその影響がうかがえる。

情報漏洩を未然に防ぐ教育、予防保全に加えて、漏洩後の対応も急務

今回の調査では、多くの大学が管理するアカウントで大企業の従業員数と並ぶ件数の情報漏洩が明らかとなった。また、大学運営組織のインシデントではなく、第三者からの情報漏洩も多いことは、今後の情報漏洩対策において重要なポイントであることも明らかとなった。

漏洩したアカウント情報がダークウェブを含むインターネット上に公開されてしまうと、実質該当アカウント情報をインターネット上から根本的に削除することは不可能となる

「調査結果詳細」の「大学漏洩アカウント数 年別集計」より、2008年7月から漏洩した1,487,811件のアカウント情報も同様に、根本的に削除することはできないため、一度漏洩したパスワードが引き続き使われている状態が既にセキュリティホールとなっている。これは、法人・組織内システム、法人・組織が契約している外部サービスだけではなく、法人・組織が発行したメールアドレスで利用者の管理下でアカウントを登録している全てのサービスに対してセキュリティホールとなっているということになる。
また、多くの人がパスワードを使いまわして利用する傾向が明らかとなっている。アカウント漏洩が発覚し、パスワードを変更したとしても、別の漏洩しているパスワードを利用したり、変更を繰り返すうちに当初の漏洩しているパスワードを再設定するというケースもありえる。利用者本人が自身の漏洩アカウントパスワードを把握できるようにする必要があると言える。

推奨される対策

不正アクセスが発生するセキュリティリスクを軽減するために、法人・組織において、常日頃から下記のような対策を実施することを推奨致します。

①アカウント漏洩状況を把握する。

漏洩しているアカウント数が多い方がリスクは高くなりますが、漏洩アカウント数が少なくとも不正アクセスされる可能性があります。漏洩状況を把握するために最低限必要なことがアカウント漏洩対象者の把握です。漏洩者が判明すれば、パスワードを変更する等の対策が可能です。ただし、パスワード変更する際に漏洩しているパスワードを設定しないよう、漏洩しているID(メールアドレス)、パスワードを利用者自身が把握することが求められます。この点は、ソースポッドの提供するSPC Leak Detectionで対応することが可能です。
※SPC Leak Detectionでは、教育機関向けに機能が限定された無償のAcademic Editionもご用意しています。

②漏洩したアカウントのパスワードを早急に変更する。

アカウントの漏洩を検知したら、不正利用される前にパスワードを変更する必要があります。そのためには、漏洩したことを検知した時点で本人が認識するための仕組みが必要です。この点は、ソースポッドの提供するSPC Leak Detectionで対応することが可能です。
※SPC Leak Detectionでは、教育機関向けに機能が限定された無償のAcademic Editionもご用意しています。

③多要素認証の仕組みを導入する。

法人・組織内システム、法人・組織が契約している外部サービスでは、多要素認証を導入することで、アカウント漏洩時も不正ログインを防ぐことが可能です。ただし、最近では二要素認証を突破する手口がいくつも出てきていますので、多要素認証導入後もアカウント漏洩状況の把握は継続的に実施することを推奨致します。

④利用者のアカウント管理に関するリテラシー・教育を行う。

アカウント管理の重要性、アカウントが漏洩するとどのような被害を受ける可能性があるのか、不正アクセスの仕組み、対策、管理方法等を利用者自身が認識しておかないといけない世の中になってきていますので、アカウント管理の教育が必要になっています。

⑤アカウントが漏洩した際、不正アクセスを検知された際のポリシー、体制を構築する。

アカウント漏洩や不正アクセスを検知した際の対応ポリシーや手順を予め準備し、運用することのできる体制構築が必要となります。

SPC Leak Detection
運営会社:ソースポッドについて
ソースポッドはITセキュリティに関するエキスパートとして、個人情報の漏洩を防ぐためのソリューションを提供しています。
人とITを融合した最適なコミュニケーションの提供と浸透を支援することで、お客様を幸せにし、社会に貢献しようと考えています。
会社名 株式会社ソースポッド
代表者名 山本 剛
所在地 〒160-0003 東京都新宿区四谷本塩町14-1 第2田中ビル7階 MAP
お問い合わせ TEL:03-5213-4842 
FAX:03-5213-4843
URL https://www.source-pod.co.jp/
設立 2006年5月19日
資本金 10,000,000円
事業概要 クラウドメールサービス及びメールシステム導入コンサルティング・ソリューション事業

Copyright © SourcePod, Inc. All Rights Reserved.