2022年12月、県立大学の教授のメールアカウントが不正ログインの被害に遭ったことが同大の発表により判明した。発表によれば、同大の学生や教職員などの氏名やメールアドレス、メールボックス内の人事資料や履歴書のファイルなど、5288人の情報が漏えいしたおそれがある。
同大ではメールアカウントにログインする場合、パスワード入力に加えてSMSか電話で確認コードを入力する二要素認証を原則としていた。しかし、同教授はスマートフォン等を所持していないことから、例外としてパスワード入力のみとなっていた。また、使用していたパスワードも少ない桁数の簡単なもので、他のサイトでも使用していたという。

【このニュースに一言】

二要素認証のように、1回のパスワード入力だけで認証を済ませず、所持端末に届くワンタイムパスワードを入力するなど、複数の要素（この場合は「知識要素」と「所有要素」）の認証を求める方法は、不正ログインを防ぐために、多くのサービスで利用されています。同大でも、不正ログインを防ぐために二要素認証を採用していたわけですが、同認証の例外を設け、安易なパスワードや使い回しを放置していたなら、本件は発生して当然だったのではないでしょうか。
スマホがなければ、スマホを使った二要素認証はできません。しかし、できないから仕方ないとリスクを放置する考え方をもっていたとしたら、まずその考え方を徹底的に改めるべきです。
同大では本件を受け、二要素認証の例外を一切認めないように運用を見直すとしています。サイバー攻撃の手口は日々進化し、それに備えるセキュリティ対策もより強化していく必要があるでしょう。しかし、セキュリティ対策を強化しても、その運用に穴があれば、容易にサイバー攻撃の餌食になります。それを肝に銘じて、組織の定めるセキュリティルールを破ったり、個人でできる基本的な対策を怠ったりすることがないようにしてください。