不正アクセスで36万通の迷惑メール送信、京都教育大学

　京都教育大学は2018年4月6日、メールシステムへの不正アクセスで迷惑メールを送信した事案があったと公表した。2018年2月10～11日に教職員や学生が使うメールシステムに不正アクセスがあり、1つのアカウントから外部のアドレス約36万件に迷惑メールを送っていた。Webサイトに誘導するフィッシングメールだった。

　1件のアカウントから大量にメールを送信していることが2月11日に判明した。外部から指摘があったほか、勝手にメールが送られたことに気付いた利用者がパスワードを変更して情報システム部門に報告した。その後不正アクセスの詳細を調査したところ、外部に迷惑メールを送信していた件数が判明し、公表に至った。送信した迷惑メールは文面にURLを含むタイプのフィッシングメール。パスワードの変更後、迷惑メール送信は止まっている。

　学内のサーバーで運用するメールシステムのWebアクセスの機能を使って、何者かが学外のIPアドレスからログインした履歴があった。当該アカウントの利用者がフィッシングメールをクリックして認証情報を奪われた可能性を疑っている。利用者は「パスワードを入力した覚えはない」としているため、推測された可能性もある。学内の他のサーバーへの侵入を試みた痕跡はなかった。

　京都教育大学は教職員や学生に対するセキュリティ研修を強化するほか、メールサービスの利用方法を見直す方針。学外からの利用時に多要素認証を求めるシステムの導入も検討する。