Intelligence Report インテリジェンスレポート

サマリ

 · 国内799大学のドメインアカウントを対象に、2023年10月末時点のデータを集計。漏洩件数・漏洩頻度、漏洩規模（大学数）をそれぞれ年毎に算出した。

 · 期間内の累計漏洩件数は約174万件。

 · 昨年2022年は、漏洩件数としては約1万7千件と低水準だが、漏洩頻度・漏洩規模で見ると歴代最高水準（1年の内10月分の漏洩・ひと月に179.8大学が漏洩）に達した。

 · 2023年は、漏洩件数としては約1千2百件（10月現在）と低水準となり、漏洩規模も連動して減少したが、漏洩頻度は過去平均水準（10月現在、1年の内6月分の漏洩）で推移している。

 · 大学アカウントへの不正アクセスインシデントは頻発している。漏洩件数や規模が減少しても、過去に漏洩したアカウントはインターネット上から完全に削除することが難しく、パスワードを使い回している限り、不正アクセスリスクが残存した状態になっているため、引き続き警戒が必要。

 · インシデント発生時に対応可能な体制構築と、利用者の情報セキュリティリテラシーの向上が求められる。

SP Intelligence Reportについて

株式会社ソースポッド（以下、ソースポッド）は、日本のサイバーセキュリティ現況を不定期に調査し、レポートを配信しております。
近年サイバーセキュリティ関連インシデント件数は増加の一途を辿っており、プライバシーの侵害や金銭的被害などの実被害に至るケースも同様に増加しています。
この情報漏洩定期レポートは、過去のインシデントの被害やそのインシデントに起因すると考えられる情報流出件数を検証材料に、個人情報を取り扱う事業者全てのセキュリティ意識醸成を啓蒙するための自主的な取り組みとなります。情報社会全体の安全性向上を目的として、我々を取り巻く状況の把握に役立てれば幸いです。

調査方法

OSINT (Open Source INTelligence)データをもとに、以下の条件で漏洩件数を月別に集計。なお、抽出にあたってはアカウント数の抽出のみを目的としているため、具体的なドメイン、個別メールアドレスについては取得していない。
本調査は、昨年2022年11月15日に公開した『2022年9月度における国内791大学のアカウント漏洩状況レポート（https://www.source-pod.co.jp/report/2022111501.html）』の追跡調査として、最新の集計データを反映した。
日本国内大学が所有するドメインで発行されたメールアカウント（学生および教職員アカウント）が、どの程度インターネット（ダークウェブを含む）で公開されているかを年別に集計し、セキュリティリスクの現状把握と喫緊の対策の必要性を喚起するものである。

1．抽出対象

国内799大学が保有するドメインアカウント

2．前提条件

・漏洩チェック範囲は、ダークウェブを含むインターネット上に公開され、不特定多数が確認できるものとする。
・漏洩チェック期間は、2008年7月1日から2023年10月31日までとする。本調査は、前回調査期間（2022年9月30日まで）以降の漏洩データを追加したものとなる。
・漏洩取得内容は、ID(メールアドレス)とパスワードが漏洩している年月と漏洩数のみとする。

※漏洩年月、数以外の情報は取得できない独自のチェックシステムを利用。
※漏洩を判別する情報は、IDとなるメールアドレスのドメイン名で実施するものとする。
※漏洩アカウントが実際に使われているアカウントとの同一性や存在有無は不明だが、同時期かつ同場所で漏洩している全く同様のアカウントは重複を排除している。
※統廃合が行われた大学は、活動時期にあたる期間のみ漏洩を集計。
※ドメインが重複している複数の大学は、各大学名のみ調査対象大学数としてカウントし、漏洩件数はドメイン基準で算出。
※複数ドメインを有する大学は、ドメイン毎の漏洩を集計。

調査結果

大学におけるアカウント漏洩状況

漏洩件数・漏洩頻度・漏洩規模（大学数）ともに、歴代の中でも高水準となった2021年。2022年は件数が少ないものの、漏洩頻度・漏洩規模では昨年同様の高水準であり、教員等のアカウント漏洩からのインシデントも発生。引き続き警戒が必要。

アカウント漏洩状況の把握を目的として、2023年10月末時点の最新集計データをもとに、
・漏洩件数
・漏洩頻度（年12カ月の内、アカウント漏洩が確認されたのは何月あるか） 
・漏洩規模（ひと月当たり平均の被害大学数を算出）
をそれぞれ年毎に算出した。

■2022年全体の漏洩について

国内799大学を対象としたアカウント漏洩件数は、2008年から2023年10月までの集計で累計約174万件にのぼる。昨年2022年は約1万7千件の漏洩件数が確認され、2019年以降の爆発的な漏洩件数と比較すると、件数自体は減少した。
漏洩頻度の面では、過去平均である歴代1位となった2016年、2021年と並び、1年の内10月分の漏洩を確認。
また、漏洩規模の面では、2021年を超え歴代2位（ひと月に179.8大学が漏洩）となり、1位の2019年（ひと月に187.4大学が漏洩）に迫る勢いを記録した。
上記の通り、2022年は漏洩頻度・漏洩規模共に高水準であることが確認され、漏洩件数は減少しつつも、広範囲の大学で漏洩が続いていると判断できる。

■2023年の漏洩について

一方で、本年2023年は、漏洩件数が約1千2百件とさらに減少し、それに応じて漏洩規模にも減少が見られた。ただし、漏洩頻度は、10月時点で過去平均と同水準（1年の内6月分の漏洩）に達している。
漏洩件数・規模は減少傾向にあるが、漏洩頻度は過去平均のまま推移しているため、引き続き警戒が必要となる。

■前回調査（2022年9月）以降の大学のインシデント

前回の調査以降も、不正アクセスにまつわるインシデントが多数の大学で確認されている。下記は一部のインシデント例となるが、メールアカウントへの不正アクセスによるスパムメール送信、個人情報漏洩のケースが多く見られた。

（2022年）
・11月、アカウントを管理するサーバーが第三者による不正アクセスを受け、ランサムウェアに感染し、データの一部が改ざんされ、個人情報が漏洩した可能性があることを発表。
・12月、研究室で運用しているCMSサーバーが学外からの不正アクセスを受け、改ざん・不正プログラムが書き込まれ、個人情報が漏洩した可能性があることを発表。
・12月、教員のメールアカウントが不正アクセスにより乗っ取られ、個人情報が流出した可能性を発表。

（2023年）
・2月、教職員が利用していたパソコンが不正アクセスを受け、スパムメールが送信され、個人情報を含む送受信メールを閲覧された可能性があることを発表。
・2月、教育研究システムのサーバーに対し、第三者から不正アクセスを受け、不審なプログラムが実行され、学生および教職員のメールアドレスが窃取された可能性があることを発表。
・3月、窃取された学生のメールアドレス及びパスワードでMicrosoft 365に不正アクセスを受け、スパムメールが送信され、Microsoft 365に格納されていたユーザー情報の一覧が閲覧された可能性があることを発表。
・4月、教職員のメールアカウントが第三者により不正にアクセスされ、個人情報が含まれるメールを閲覧された可能性があり、また該当メールアカウントから大量のメール送信が確認されたことを発表。
・5月、窃取された学生のメールアドレス及びパスワードでMicrosoft 365に不正アクセスを受け、スパムメールが送信され、個人情報が流出した可能性があることを発表。
・6月、部署メールサーバー1台が不正アクセスにより一部メールアカウントが乗っ取られ、約151万通のスパムメールが送信されたことを発表。
・8月、利用しているeラーニングシステムが第三者による不正アクセスを受け、サーバーに保管されていた個人情報が流出した可能性があることを発表。
・8月、教職員用メールサーバーに対する外部からの不正アクセスを受け、スパムメールが送信され、教職員や関係者の個人情報が流出した可能性があることを発表。
・9月、研究室CMSサーバーが不正アクセスを受け、改ざん及び不正なプログラムの書込みがあったことを確認。個人情報が漏洩している可能性があることを発表。
・9月、教員が運用している研究用サーバーを介して、法人ネットワーク内の複数のサーバーへの不正アクセス及び不審なプログラムの書込みがあったことを確認。教職員・学生を含む関係者の個人情報が参照された可能性があることを発表。

考察

2022年のアカウント漏洩件数は減少したが、漏洩頻度・漏洩規模数は過去最高水準を記録。2023年は漏洩件数・漏洩規模はさらに減少しつつも、漏洩頻度は過去平均水準を推移している。
一方で、大学の不正アクセスインシデントは継続的に発生している。その背景として、次の要因が考えられる。

・多要素認証を大学全体もしくは一部で利用している全てのシステムやサービスに適用することは、現実的に難しい。
・一度インターネット上に漏洩したアカウント情報を完全に削除することは難しいため、アカウントが漏洩し、かつパスワードの使い回しをしている人は、不正アクセスリスクが残存している。

組織全体で、有事に備えたリスクヘッジ・インシデント発生時のリカバリーを行える体制の構築が必要になるとともに、利用者の情報セキュリティリテラシーの向上が求められる。

対策

年々進化する攻撃に対し考えられる対策としては、漏洩防止体制と合わせて、情報が漏洩したケースを想定したフォローアップ体制の準備が非常に重要となるため、以下が推奨される。

対策１：漏洩アカウントの検知、把握、無価値化をワンストップで行う仕組みと体制の構築

①アカウント漏洩の集中監視
漏洩アカウント数の大小を問わず、重要なのは漏洩の事実をいち早く把握することであるため、アカウント漏洩を即時検知する監視体制を整える。

②アカウント漏洩の把握
①の監視により検知された漏洩状況を、アカウント利用者と管理者双方へ即座に連絡し、問題の把握を行えるようにする。
従来の漏洩監視ツールでは、アカウント利用者が自身のアカウントの漏洩状況しか把握することができず、組織全体での把握スピードが遅れやすく、対応が後手に回ってしまうため別途対策が必要。

③漏洩したアカウントのパスワードを早急に変更
アラート通知を受けた管理者及び漏洩対象者は、いつ、どこで、どのパスワードが漏洩したのかを確認し、当該アカウントが不正利用される前にパスワードを変更する。
ただし、パスワードを変更する際にも、既に漏洩しているパスワードを再利用しないよう注意を払う必要があり、再設定パスワードの管理が必要。

対策２：多要素認証の仕組みを導入する
法人・組織内システム、法人・組織が契約している外部サービスでは、多要素認証を導入することで、アカウント漏洩時も不正ログインを防ぐことが可能となる。ただし、最近ではフィッシングSMSリンクを用いた中間者攻撃や、正規サイトの保護手段を回避する手口がいくつも出てきているため、多要素認証導入後も、アカウント漏洩状況の把握を継続的に実施することが推奨される。

対策３：利用者のアカウント管理に関するリテラシー教育を行う
昨今の情勢から、利用者自身にアカウント管理のリテラシーが求められているため、アカウント管理の重要性、パスワード使い回しのリスク、アカウントが漏洩するとどのような被害を受ける可能性があるのか、不正アクセスの仕組み、対策、管理方法等の教育を利用者に行う。

※ソースポッドでは、上記の対策１、３が可能なSPC Leak Detection Standard Editionをはじめ、様々なプランをご用意しております。詳細は株式会社ソースポッドまでお問い合わせください。

以上