パスワードポリシーは厳しく
ScanNetSecurityによると『大阪府藤井寺市は2月28日、2024年12月10日に公表した藤井寺市立小・中学校での学習用クラウドサービスアカウントの利用不能について、調査結果を発表した。』と報道した。
これは『同市では2024年12月5日夕方頃に、同市内小・中学校の児童生徒及び教職員の利用している学習系ネットワークのマイクロソフトアカウント及びそれに関連付けられたクラウドサービスにログインできない事象が発生しており、保守管理事業者にてマイクロソフトの管理用アカウントへの第三者からの不正アクセスを確認していた。』と報じた。
発表内容では不正アクセスの原因は「第三者からのブルートフォース攻撃(あらかじめ決められた文字や記号の組み合わせを総当たりで試行する攻撃手段)が行われたと推察されます」とされており、管理用アカウントが乗っ取られたという事だと思います。
攻撃手段から考えて、設定されているパスワードが容易に推測可能なものだったという事でしょう。
特に「管理用アカウント」は管理担当者の間で共用されている事がある場合と、もう1つは複数人の管理権限を持つ人が存在する場合の2通りある点で、設定されているパスワードの複雑性などが甘くなる点が問題です。
管理権限を持つアカウントならなおさらですが、設定パスワードの複雑性をパスワードポリシーとして定め、簡単なものは設定出来ない様にする事が大事だと思います。
https://scan.netsecurity.ne.jp/article/2025/03/11/52472.html
ブルートフォース攻撃が原因 ~ 藤井寺市の学習系ネットワークのマイクロソフトアカウントに不正アクセス
https://www.city.fujiidera.lg.jp/soshiki/kyoikuiinkai/gakkokyoiku/osirase/gakusyuyoukuraudosa-bisuakaunto/19595.html
【保護者の皆様へ】学習用クラウドサービスアカウントの利用不能に係る調査結果について
« カード情報漏えいECが増えている | トップページ | クリアデスクの大切さ »
「column」カテゴリの記事
- 求人サイトの管理パスワードが「123456」(2025.07.18)
- QRコードを利用したフィッシングは「クイッシング」(2025.07.16)
- 攻撃が予告されているのに...(2025.07.07)
- ドメインを勝手に放棄すると詐欺に加担する?(2025.07.03)
- 削除型ランサム(2025.06.16)
コメント