MENU
  • 日本語
  • English
  • 简体中文
  • 繁體中文
  • 한국어
  • Français
  • Español

Office 365のセキュリティ強化!PassLogicと連携し、フィッシングサイトや不正アクセスからアカウントを守る

目次

国公立大学6校にフィッシングメール、Office 365のアカウント情報が流出

2018年4月から6月にかけて、国公私立大学に対しフィッシングメールが送られ、「Microsoft Office 365」(オフィス365)のID・パスワードが盗まれる情報漏洩が相次いで起こっています。

現在被害が判明しているのは、弘前大学、横浜市立大学、富山県立大学、立命館大学、島根大学、沖縄県立看護大学の計6校。(2018年7月時点)
いずれも米マイクロソフトが提供するクラウドサービス「Office 365」を使用していました。

Office 365のログイン画面にそっくりなフィッシングサイト

フィッシングメールは、英文で「メールを送れなかった」という内容の送信エラーを装うもので、詳細を知るために本文中にあるURLをクリックすると、フィッシングサイトの偽のOffice 365のログイン画面に飛ばされます。ここでID・パスワードを入力してしまうことにより、第三者にアカウント情報が取得されてしまうというものでした。

この手口によって50名ほどのアカウント情報が流出し、盗まれたID・パスワードでOffice 365のメールサービスに不正ログインが行われ、教職員や学生のメールを外部転送するよう設定が変更されていたとのことです。
これにより、6大学で合計約1万2千人分もの個人情報が流出したと見られています。

これを受けて文部科学省は、6月27日付で全国の大学に対し、「先端技術情報を狙った標的型攻撃が行われるなど、重大な情報漏えいにつながる可能性がある」と注意喚起を行い、セキュリティ対策を強化するように促しています。

(参考/文科省が偽メール注意喚起、6大学で情報流出1万件超/SankeiBiz)

Office 365とPassLogicの連携でフィッシングサイトからアカウントを守る!

最近のフィッシングメールやフィッシングサイトは本物そっくりであるため、ユーザーが即座に偽物と見抜くのは難しいでしょう。特に今回のOffice 365のフィッシングサイトは、本物のログイン画面をコピーした可能性が高いと言われています。

このようなフィッシングサイトへの有効な対策方法のひとつとして、ログイン時の認証セキュリティの強化があげられます。ここでは、デバイスレス・ワンタイムパスワードシステム「PassLogic」と連携した、Office 365の認証強化について紹介します。

PassLogicは、パスロジ株式会社が提供する企業・団体向けの認証システムです。業務システムへの認証を通常のID・パスワード認証から、デバイスレス・ワンタイムパスワード認証や、TOTP型のワンタイムパスワード認証に置き換えて、認証セキュリティを強化するソフトウェアです。

Office 365のログインをワンタイムパスワードに!不正アクセスを遮断

Office 365とPassLogicを連携すると、ログイン時に「PassLogicのワンタイムパスワード」の入力が必須になります。

「Office 365-SP initiated-」ワンタイムパスワード連携動画(PC)※SAML2.0連携

「Office 365-IdP initiated-」ワンタイムパスワード連携動画(PC)※SAML2.0連携

ユーザーがフィッシングサイトにアクセスした際、偽のOffice 365のログイン画面にはPassLogicのワンタイムパスワード画面(乱数表)が表示されません。
これにより、ユーザーは「いつもとログイン画面が違う=本物でない」と気が付くことができます。

また、もし気が付かずにOffice 365のIDを入力してしまい、ID名が流出したとしても、もうひとつのパスワードであるPassLogicはワンタイムパスワードなので、次にログインする際には答えが変わっています。
犯罪者が盗み出したID名でOffice 365にログインを試みても、乱数表のワンタイムパスワード が表示され、不正アクセスを防ぐことができます。

Office 365とPassLogicの連携方法については、下記の記事にて紹介していますので、併せてご覧ください。

Office 365とPassLogicをSAML連携


多機能な認証強化システム「PassLogic」

PassLogicは、Webブラウザだけで強固なワンタイムパスワードが利用できる「デバイスレス・ワンタイムパスワード認証」や、ソフトウェアトークンやハードウェアトークンによる認証を導入するための本人認証システムです。認証用機器の追加導入が不要なため、コストを抑えることができます。

社内システムやクラウドサービスの認証に利用することで、場所と端末を限定せずに、業務システムへの認証を強化し、不正アクセスをシャットアウトします。
二要素認証、LDAPによるID管理サービスとの同期のほか、複数の業務システムへのシングルサインオンやアクセスコントロール機能も搭載しており、組織の業務システムの認証強化と業務・管理効率アップをワンストップで実現します。
無料の評価版もございますので、ぜひお気軽にお問い合わせください。

PassLogicお問い合わせフォーム  >

※記事中に記載されている、会社名、製品名、ロゴ等は、各社の登録商標または商標です。

float_banner_btn_dl
コラム
Office365 セキュリティ強化 不正アクセス対策
目次