index

昨今大学における不正アクセス被害が絶えません。このような被害は、何らかの手段により利用者のID・パスワードが不正に取得された結果、引き起こされるケースが多いです。

不正アクセスされてしまうと、自身の個人情報や秘密情報が漏えいするなどの被害を受けるだけではなく、サイバー攻撃の踏み台としてアカウントを悪用されるなど、加害者になり得るリスクがあります。

ここでは、不正アクセスの典型的な手口を紹介することで注意喚起を図るとともに、自身でV-Campus IDを守るための方法をご案内します。

不正アクセスの実情

大学の不正アクセス被害は多い

1. 不正アクセスとは、本来アクセス権限を持たない者が、サーバや情報システムの内部へ侵入を行う行為です（総務省）。言い換えれば、第三者がID・パスワードを不正に取得し、Webサーバ、学内システム、メールアカウントに侵入することを指します。
   

   総務省：不正アクセスとは？

2. 国内大学においても不正アクセス被害が絶えません。Google等の検索エンジンで「大学 不正アクセス」と検索すると、多くの事例にヒットします。

   「大学　不正アクセス」の検索結果
   

3. 不正アクセスによる被害としては、Webサイトの改ざん、迷惑メールの踏み台、個人情報等の重要情報の漏えいが挙げられます。
4. 本学においてもV-Campus IDに対する不正なサインインを試みる形跡が日々報告されています。

不正アクセスの手法もいくつかありますが、その多くはID・パスワードの不正な取得によるものと云われています。以下にその典型的な方法を紹介します。

ID･パスワードの不正取得方法

フィッシング詐欺

フィッシング詐欺は、特定の組織や業界をターゲットに、関係者になりすまして、悪意のあるメールを送信し、ID・パスワードやクレジットカード番号を盗み取る攻撃です。

1. メールに添付された悪意のあるファイルを開いた結果、PCがマルウエアに感染してしまい、ID・パスワードを盗み取られてしまいます。
2. メールに記載されているリンクにアクセスした結果、偽サイトにログインするよう誘導されて、ID・パスワードやクレジットカードの番号をだまし取られてしまいます。

このような攻撃メールを見分ける方法は、後述の「標的型攻撃に注意！」で紹介しています。

ブルートフォース攻撃

1. 特定のIDに対して理論上考えられるパスワードを組み合わせて不正アクセスを試みる攻撃です。

2. 特定のパスワードを用いて複数のIDに対して不正アクセスを試みるリバースブルートフォース攻撃もあります。

   パスワードスプレー攻撃ともいわれています。昨今のWebサービスでは特定のIDのサインイン試行が数回失敗すると一時的にアカウントをロックする仕様になっているため、現在はリバースブルートフォース攻撃の方が主流になっています。

ダークウェブでのID・パスワード情報不正取得

1. ダークウェブとは一般的なブラウザや検索エンジン経由ではアクセスできないWebサイトを指します。大手Webサービスから流出したアカウント情報やクレジットカード情報が掲載されるなど、非合法的に取得された情報が掲載され、犯罪の温床となっています。
2. 仮にV-Campus IDとパスワードを外部Webサービスでも使い回すと、そこから漏えいしてしまうリスクもあります。

インターネット上の個人情報から推測

1. インターネット上で知りえる個人情報からパスワードを類推されてしまうことがあります。例えば自分の誕生日をWebサイトやSNSで公開していると、誕生日を元に類推可能なパスワードを組み合わせて攻撃を仕掛けてきます。

ソーシャルエンジニアリング

1. 総務省によると、ソーシャルエンジニアリングとは、「ネットワークに侵入するために必要となるパスワードなどの重要な情報を、情報通信技術を使用せずに盗み出す方法」で、「その多くは人間の心理的な隙や行動のミスにつけ込むもの」と定義されています。

   総務省：ソーシャルエンジニアリングの対策

2. 主な手法としては、電話によるパスワードの聞き出し、盗み見が挙げられます。仮にシステム管理者などを騙って電話で個人情報やパスワードの開示を求められても絶対に答えないでください。また、システムにログインできなくなりヘルプデスク等に問い合わせをする際、口頭でパスワードを伝えることも控えてください。
   また、PCやディスプレイ周りに付箋でIDとパスワードを張り付けるケースもよく見られますが、盗み見されるリスクが伴いますので絶対にやめましょう。

不正アクセスからV-Campus IDを守るために

多要素認証の設定

1. 多要素認証とは従来のID・パスワード（知識要素）に加えて、スマートフォンなど（所有要素）利用者自身が所有する端末、指紋、顔、虹彩（生体要素）など、複数の要素を組み合わせる認証方式です。
2. 立教大学では、スマートフォンを利用した多要素認証を採用しています。（個人のメールアドレスにパスコードを送信する方法も利用できますが、スマートフォンを利用した方が安全です）。

3. 多要素認証を有効にするにはスマートフォンに認証アプリをインストールして、自身のV-Campus IDとスマートフォンを紐づける設定が必要です。紐づけ完了後、サインイン時にワンタイムパスワードの入力が求められるので、認証アプリに表示される6桁の数字を入力します。なお、ワンタイムパスワード入力時に画面上に表示される「このブラウザを信頼する」にチェックを入れると、30日間同一端末同一ブラウザでは認証コードの入力が省略されます。
   詳細は設定方法は以下のページをご確認ください。

   多要素認証を有効化する

4. 万が一IDとパスワードが漏えいしても、認証時にワンタイムパスワードの入力が必要となるため、不正アクセスを防止できます。ワンタイムパスワードはV-Campus IDを紐づけたスマホの所有者しか知りえないので安全です。
5. 今後は、V-Campus IDの認証時にパスワードの入力を求めない、パスワードレス認証にも対応する方針です。
6. プライベートでGoogleアカウント（～@gmail.com）やMicrosoftアカウント（～@microsoft.com）を所有している場合も多要素認証を有効化しましょう。特にプライベートのGoogleアカウントに不正アクセスされてしまうと、Chromeに保存しているID・パスワード情報を盗み取られてしまう可能性があります。

ID・パスワードを共有しない

1. 複数人でID・パスワードを共有するのは、さまざまなリスクがあるので絶対にやめてください。
2. 共有相手が異動や退職した後にも同じパスワードを使っていると、そこから情報が漏えいする可能性があります。さらに、多要素認証の設定が困難になります（多要素認証は単一のデバイスにしか紐づけることができません）。
3. 加えて、異なるIPアドレスから同一IDでログインを続けると、不審なアカウントとみなされてアカウントロックや停止されてしまう場合があります（例：Google、Microsoft）

4. 部署や組織のメールアドレスを複数人で共有する場合は、Gmailの代理アクセス機能の利用を推奨します。

   Gmailの代理アクセス機能
   

5. 代理アクセスを利用する場合も、管理者が責任もってID・パスワードを管理してください。多要素認証も設定するようお願いします。再三となりますが、管理者は他の利用者とID・パスワードを共有しないでください。Googleによりアカウントを停止されてしまうリスクを伴います。

標的型攻撃に注意！

メール経由から流出

フィッシング詐欺の手口として最も利用されるのが標的型攻撃です。標的型攻撃とは、特定の組織や業界をターゲットに、関係者になりすまして悪意のあるメールを送信する攻撃手法です。

なりすましメールを見極める

最近の攻撃メールは、なりすましの精度も上がっているので、少しでもおかしな点に気づいたら添付ファイルを開いたりメール文中のリンクを踏んだりしないでください。なりすましを見極めるポイントは以下の通りです。

1. 送信者のメールアドレス
   • 送信者名とメールアドレスのドメインが一致していない場合は限りなく迷惑メールである可能性が高いです。
     
   • ただし、正規のドメインに偽装するケースもあるので注意が必要です。特に大学のドメインや自分自身のメールアドレスを偽装している場合は、メールの内容に不審な点が無いか慌てずに確認しましょう。
   • 迷惑メールであるか判断がつかない場合は、メッセージのソースを確認します。ソースにはメールの到達経路が記録されているので、送信元のメールサーバの情報を調べることで偽装であるか否かを判断できます。
   • メッセージソースの確認方法がわからない場合はメディアセンターで調査しますのでご相談ください。
2. メール文中のリンクURLのドメイン名を確認
   • ドメイン名とは、インターネット上の住所に該当するものです。立教大学の取得しているドメイン名は「rikkyo.ac.jp」です。
   • メール文中のURLが以下のような場合は注意しましょう。
     • URLに含まれるドメイン名が、送信者のメールアドレスのドメイン名と一致していない。
     • 短縮URL
   • 見かけ上URLに正しいドメインが含まれていても実際のリンク先URLが異なるなど、偽装工作がなされている場合もあるので注意してください。URLをマウスオーバーすると、ブラウザの左下に実際のリンク先URLが表示されるので、偽装か否か判断可能です。

   • URLの記載がなくテキストリンクの場合もマウスオーバーして、疑わしいURLであるか確認しましょう。

     テキストリンクとは任意の文字列に埋め込まれたリンクを指します。

     テキストリンクの例：

     立教大学公式サイト

   • 短縮URLの場合はアクセスしないと実際のリンク先が分かりません。悪質なサイトに誘導されてしまうリスクが高いため、安易に短縮URLをクリックしないようにしましょう。
   • 昨今は巧妙なURL偽装が多いので注意が必要です。特に汎用JPドメイン（〇〇〇〇〇〇.jp）を利用しているURLは、一見すると信頼性が高そうですが、フィッシングサイトとして使用されている事例もあるので注意が必要です。

   • 株式会社日本レジストリサービスのドメイン名登録情報検索サービスを利用すると所有者の組織情報や担当者情報を確認できます。

     ドメイン名登録情報検索サービス

     例：総務省のWebサイトの正しいドメインはどれでしょうか？
     A:soumu.go.jp
     B:soumu.jp
     C:soumu.jq

不正アクセスされてしまった恐れがある場合

1. パスワードを変えた記憶がないのに急にサインイン、アクセスができなくなったなどの事象が発生した場合は、不正アクセスされた可能性が高いです。その場合には、まずメディアセンターに問い合わせをしましょう。

   メディアセンターへの問い合わせ
   

2. Gmailにサインインしたところ、読んだ記憶のないメールが既読になっている、覚えのないメールの送信履歴が記録されている、大量のエラーメールを受信しているなどの痕跡が残っている場合、不正アクセスされた可能性が高いです。Googleには自身のアカウントに最近アクセスしたデバイスを確認する機能があるので、不審なデバイスやロケーションからのログインが無いか確認しましょう。
   

   Google アカウント「お使いのデバイス」

3. Googleからセキュリティ通知のメールが届いている場合も、不正アクセスされた可能性があります。通知内容を読み、覚えのあるサインインであるか確認しましょう。