サービスに関する
お問い合わせ

0120-142-117
お電話でご相談 / 平日10:00〜18:00
※ タップして今すぐお電話

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。 ご相談は無料です。

SHIFT SECURITY

クラウドセキュリティの
学び場

SHIFT SECURITY クラウドセキュリティの学び場 インシデント事例 愛知県がんセンター医師のOffice365アカウントへ不正アクセス、個人情報含むメールが漏えい

愛知県がんセンター医師のOffice365アカウントへ不正アクセス、個人情報含むメールが漏えい

目次
  • 今回の解説ニュース
  • アカウント乗っ取り対策に効果「多要素認証」
  • メールでパスワードを別送する手法「PPAP」のリスクとは?

今回の解説ニュース

愛知県がんセンター医師のOffice365アカウントへ不正アクセス、個人情報含むメールが漏えい

愛知県がんセンターは9月8日、同センター医師のクラウドサービスのアカウント情報が窃取され、個人情報漏えいの可能性が判明したと発表した。(記事はこちら)

【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

クラウドサービスのアカウントが乗っ取られ、メールの送受信履歴から個人情報が漏洩した可能性があるということです。クラウドサービスを利用する際に、アカウントが乗っ取られないための対策について説明します。

今回のインシデントは、利用者がメールの不調に気が付いたことをきっかけに調査が行われ、海外からの不正アクセスが判明したということです。直ちにアカウントのパスワードを変更後、アカウントの停止が行われました。その後、詳細な調査を実施したところ、海外からの不正アクセスが約1か月半にわたって行われており、メールの送受信履歴からパスワードロックがかかっていない延べ183名の患者を含む個人情報が漏洩した可能性があると発表されています。

対策として、クラウドサービスのログインに多要素認証を導入し、ファイアウォールの設定を強化したということです。

アカウント乗っ取り対策に効果「多要素認証」

IDとパスワードが知られてもアカウントを乗っ取られない対策として、多要素認証の導入が挙げられます。今回のインシデントでも対策として実施されていますので、その内容と、多要素認証を導入した上でも気を付けるべきポイントについて説明します。

多要素認証とは、アクセス権限を得るために必要な要素を複数要求する認証方式です。最もよく使われるIDやパスワードなどの「知る要素」スマートフォンやICカードなどの「持つ要素」指紋や静脈などの「備える要素」を複数組み合わせて認証の強度を上げます。今回のインシデントでは「ウイルス等の不正プログラム及びフィッシングサイトへのアクセス記録は見つからず」とされていますので、それ以外の何らかの方法でIDとパスワードが攻撃者に知られてしまったことが考えられます。多要素認証が導入されていれば、IDとパスワードが盗まれたとしても、それだけでは攻撃者にアカウントが乗っ取られることはありません。

しかし、逆を言えば、多要素認証で使われている他の要素を盗まれてしまうと、アカウントが攻撃者に乗っ取られてしまいます。具体的には、多要素認証に使っているスマートフォンの操作が不正アプリによって盗聴されたり、生体認証で使っている指紋情報がそのまま複製されたりすることで、認証を突破されてしまう可能性があります。

特に気を付けなければいけないのが、すべての要素を入力させるフィッシングサイトです。スマートフォンの盗聴や指紋情報の複製には複数の条件が必要となりますが、フィッシングサイトの場合は1つの条件で攻撃が成立してしまいます。実際に被害が発生していていますので、多要素認証を設定しているからと言って安易に認証情報を入力することは避けましょう。

メールでパスワードを別送する手法「PPAP」のリスクとは?

パスワード付きzipファイルと、そのパスワードを別送する、いわゆる「PPAP」と呼ばれる手法のセキュリティリスクについて説明します。

日本固有の習慣「PPAP」
セキュリティ用語のPPAPとは、「パスワード付きzip暗号化ファイルを送ります」「パスワードを送ります」「暗号化」「プロトコル」の頭文字を取った、メールで添付ファイルを送信する日本固有の習慣です。効果が低いことや、逆にリスクを助長するとも言われています。具体的には、メールのアカウントが乗っ取られて送受信履歴を閲覧された場合、添付ファイルと一緒にパスワードが書かれたメールも漏洩してしまいます。今回のインシデントでは同様の問題はなかったようですが、PPAPで送られたパスワード付きzipファイルに、セキュリティ対策としての意味はあまりないようです。
メール送受信履歴から添付ファイルを漏えいさせない為に
メールのアカウントが乗っ取られても、メールの送受信履歴から添付ファイルが漏洩しないための対策として、オンラインストレージの利用が挙げられます。オンラインストレージでは添付ファイルがダウンロードできる回数や有効期限を設定できるため、メール自体が閲覧されても添付ファイルがダウンロードされることを防ぐことができます。

新しい脅威へ対応するために様々なセキュリティ対策が存在していますが、利用者の手間も考えた上で、効果的なセキュリティ対策を選択していただければ幸いです。

クラウドセキュリティ参考リンク

情報漏洩はこうやっておこる|クラウド編

https://www.shiftsecurity.jp/cloud-blog/20210610-13

音声で聴かれるかたはこちら

あなたの疑問を一緒に解決します!

解説してほしい用語や技術、仕組みについての疑問、
みなさまのクラウドセキュリティのお悩みに関して技術者が記事にして回答します!
ぜひご気軽にご投稿ください。

クラウドの脆弱性診断にご興味があるかたはこちら

この記事の著者 セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。

\ 記事をシェアする /

サービスに関する
お問い合わせ

0120-142-117
お電話でご相談 / 平日10:00〜18:00
※ タップして今すぐお電話