2018年8月 注目のサイバーインシデント(事件・事故)
-
8月8日 教育機関へのスピアフィッシングメールで認証情報収集
-
8月10日 クラウドの設定情報などが誤公開AWS S3の誤設定で
-
8月13日 モバイルPOS端末に決済額改ざんなど可能となる問題
教育機関へのスピアフィッシングメールで認証情報収集、他2件(脅威情報)
解説
大学などの教育機関を狙ったサイバー攻撃が増加しています。その背景として、産学連携が活性化し、教育機関側が企業の情報を保有しているためと考えられます。攻撃者は、これらの情報を窃取するために、企業ほどセキュリティ対策が強固ではない教育機関への攻撃を意図したものだと推測されます。さらには、教育機関が保有している在校生・卒業生・教職員などの個人情報が狙われています。窃取した個人情報には組織の重要人物あるいはその同級生などが含まれており、プライベート情報を外部にさらすことで行動・能力・機能を低下させる「Doxing(ドクシング)」という攻撃で直接あるいは間接的に悪用される懸念があります。
提言
ビジネスパートナーを含む、多くの関係者がサプライチェーンでつながる状況下において、自社だけセキュリティを強化しても十分ではありません。協力先や子会社・関連企業から情報が漏れる可能性を考慮し、サプライチェーン全体においてセキュリティ強化を図る必要があります。同様に、教育機関と共同で研究やビジネスを行う際には、サプライチェーンにおいて要求するセキュリティ体制と同レベルのものを教育機関と構築するなど、情報流出を防ぎ、早期発見する取り組みが重要となります。
