ESETは2018年1月26日(米国時間)、「Jail for man who hacked 1000 student email accounts in search for sexually explicit images」において、米国ニューヨーク市にある大学の1000を超える電子メールアカウントに不正アクセスした30歳の男性に懲役6カ月が言い渡されたと伝えた。男性は女子学生の性的に露骨な写真データや動画データを得るために不正アクセスを行ったという。

不正アクセスはパスワードリセットユーティリティへのアクセスを得ることで実施されている。攻撃者は学生がパスワードを忘れた場合に利用するリセットユーティリティにアクセスするために、大学のサーバに侵入。電子メールアカウントを窃取したあとはメールを使ってほかのサービスのパスワードリセット処理を実施し、アクセスできる範囲を拡大していったと説明がある。Apple iCloud、Facebook、Google、LinkedIn、Yahooなどのアカウントに不正アクセスが実施されたものとみられる。

  • 資料: ESET提供

    資料: ESET提供

大学の調査によれば、攻撃者は2015年10月から2016年9月にかけてリセットユーティリティに18640回アクセスしたと説明。最終的に1035の電子メールアカウントが窃取され、1378回ほどのパスワード変更が実施されたとしている。この攻撃者はほかにも類似した犯罪を実施していることが言及されている。

ESETではパスワードリセットが実施されたApple iCloud、Facebook、Google、LinkedIn、Yahooなどは2段階認証を提供しているため、仮に電子メールアドレスが窃取されたとしても、この機能を有効にしておくことで、不正アクセスに気がつくことができると説明している。