横浜市立大学は6月6日、フィッシングによる正規アカウントの乗っ取りにより、3512通のメールが外部に無断転送されたと発表した。同日時点でさらなる被害は発生していないものの、「関係者や市民の皆様の信頼を損ねる事態となり、誠に申し訳ございませんでした」と謝罪している。
横浜市大によると、この攻撃では英文のフィッシングメールから同大学で使用しているクラウドメールサービスのログイン画面に似せた英文サイトに誘導されるものだった。偽サイトでは、IDとパスワードの入力を促される。教職員らが使用する29のアドレスのユーザーが偽サイトにアクセスしてしまい、こられのアドレスが受信していた合計3512通のメールが何者かによって外部へ不正に転送されていたことが分かった。
フィッシング攻撃からメールの不正転送と個人情報漏えいの被害が発生した横浜市立大学
調査からフィッシングメールは、4月24日から5月23日にかけて1037件のアドレスに送信された。メールの不正転送は5月15日から同30日まで発生し、その結果、5794件の個人情報が漏えいしたという。内訳は差出人の氏名とメールアドレスが3512件、添付ファイルや本文に含まれていた氏名と住所、電話番号が2266件、学生情報が16件となっている。
横浜市大では、ICT推進課のシステム管理者が5月23日午前8時30分にフィッシングメールを検知し、同日午後1時30分に全職員と学生に注意喚起を行った。しかし、同28日午前11時50分に教員から「転送設定したアドレスにメールが届かない」という通報があり、メールの不正転送を確認したという。同31日に不正転送の被害規模を把握し、6月1日に全教職員と学生に、パスワード変更とメールの転送設定を停止することを通知。同5日に、不正転送されたメールの送信者に事態の通知と謝罪文を送付したほか、電話とメールによる臨時対応窓口を設置した。
6日時点の対応は、引き続きパスワード変更とメールの転送設定の停止を順次進めているとし、今後は不正転送されたメールの添付ファイルや本文に記載されていた個人情報の漏えいについて、内容を調査し、事情説明と謝罪を改めて行うという。