教育クラウドサービス「Classi」に不正アクセス - 全利用者のIDなど流出
教育機関向けクラウドサービス「Classi」が不正アクセスを受けたことがわかった。生徒や保護者、教諭など全利用者のIDや暗号化済みのパスワードが外部へ流出したおそれがある。
同サービスを展開するClassiによれば、4月5日に障害が発生してサービスを停止。ログなどサーバの状況を調査したところ、4月5日14時過ぎから同日16時半前にかけて外部から不正アクセスを受けていたことがわかった。
今回の不正アクセスにより、教員や生徒、保護者など同サービスの全利用者に関する約122万件のIDや、暗号化されたパスワードのほか、教諭が任意で入力した公開用の自己紹介文2031件を外部より取得されたおそれがある。攻撃を受けたサーバ内に不審なファイルなどは見つかっておらず、閲覧によるマルウェアの感染などのおそれはないという。
同社は本誌取材に対し、今回攻撃を受けた脆弱性の種類について「セキュリティ保護」を理由にコメントを避けた。また「暗号化されたパスワード」については、これらが「ハッシュ値」であるのか、またソルトの追加が行われていたかについても明らかにしていない。
同社は、必要な対策を講じたとして4月6日よりサービスを再開。パスワードそのものの流出は否定しているが、利用者のパスワードについてリセットを実施しており、ログイン時に変更を求めるとしている。
(Security NEXT - 2020/04/14 )
ツイート
関連リンク
PR
関連記事
「クックパッド」のインスタアカウントが乗っ取り被害
メルアカがスパムの踏み台に、個人情報流出の可能性も - 宮崎大
メール流出問題で調査結果、外部登録パスワードが漏洩か - アイザワ証券子会社
キッザニアへのサイバー攻撃、個人情報約2.4万件が流出
女性向け下着通販サイトに不正アクセス - 個人情報流出の可能性
シルバーアクセ通販サイトに不正アクセス - 個人情報流出の可能性
研究室サーバに不正アクセス、学生情報が流出か - 室工大
元従業員が個人情報を転職先企業に不正持出 - アクシスコンサル
不正アクセスで視聴者の個人情報が流出した可能性 - テレビ埼玉
子ども用サプリ通販サイト、委託先カートシステムに不正アクセス