圖片來源: 

中山大學

中山大學的電子郵件信箱,竟在神不知鬼不覺的情況下,被監看了接近3年,而這起事件被發現的原因,是有位政治學的教授收到該校主任秘書約談信件,察覺不尋常而進行通報,校方展開調查後,才驚覺是一起埋伏已久的攻擊事件。中山大學圖書與資訊處長賴威光指出,此事他們已經透過相關資安事件通報平臺,向教育部呈報,至於是否要向警方報案,該校則打算在盤點損害規模後,才決定如何處置。

這起事件引發外界關注的原因,主要是在11月6日,中山大學政治學研究所副教授陳至潔張貼於臉書的文章提及此事(現已遭到刪除),而受到許多人轉載。這篇文章指稱,他們學校的電子郵件信箱,被外部的攻擊者利用Open Webmail系統的漏洞,建立多個假帳號,冒充校方資深行政人員,藉此監控十多名政治學系教授的信件內容。直到十月底,因一封署名是主任秘書寄來的信件,陳至潔因這名秘書平時不會有電子郵件往來,而認為這封信不尋常,遂以電話向秘書處確認,挖掘出這個埋藏許久的監控行動。

基於Open Webmail開放原始碼且能夠免費使用,同時具備支援中文相當完整等特性,陳至潔認為,臺灣幾乎所有的大學都透過這個軟體,架構學校的電子郵件系統,因此中山大學的事件,勢必也會在其他學校重演。因此這樣的情況,所有的學校都應該要提高警覺。

校方調查郵件伺服器事件記錄,近百人受害

針對這起攻擊,中山大學也坦承確有此事。賴威光表示,他們於11月4日接獲通報,分析電子郵件系統的事件記錄後,發現他們遭受入侵的時間點,是2016年12月,換言之,該校電子郵件系統被監控了接近3年之久。至於攻擊者的來源,賴威光指出,這些異常存取的IP位址,來自不同國家,主要大部分來自香港、中國,以及美國,但他們無法以此判斷攻擊者的真實地理位置。

賴威光指出,受到影響的情況,他們於本周三(11月6日)初步調查完成,然後接著在隔日(11月7日)清除有問題的電子郵件帳號。至於受害的範圍,他表示總共多達85人,涵蓋高階主管、教授,以及助教等人員。而從這些人員所屬單位來看,約有五成是社會科學院的老師,海洋科學學院也占有相當比例。

針對攻擊途徑,賴威光指出,他們初步認為是透過跨網站指令碼攻擊(XSS)滲透,冒名寄信則是藉由跨網站請求偽造(CSRF)攻擊進行,針對Open WebMail系統的漏洞,中山大學已於今年7月防堵。

而陳至潔之所以在10月底收到由主任秘書寄送的郵件,賴威光認為,應是因為攻擊者無法掌握這名教授電子郵件信箱的狀態,想要發動網路釣魚攻擊的郵件。不過,因最近擔任準總統候選人韓國瑜的國政顧問團召集人,而受到媒體觀切是否也是受害者的中山大學政治學研究所特聘教授廖達琪,賴威光表示,她的電子郵件信箱帳號並未受到本次事件波及。

電子郵件伺服器供應商網擎也受池魚之殃

由於網頁電子郵件存取系統一般使用者常以Webmail稱呼,連帶以Mail2000電子郵件系統聞名的網擎資訊,意外受到這起事件的波及。因為Mail2000也是網頁電子郵件系統,而Open WebMail名稱也有Webmail一字,使得上述的攻擊事件自陳至潔的臉書發文受到不斷轉載,再加上媒體的報導,部分學校的管理者便開始擔心,向該公司確認Mail2000是否也出現弱點。為此,網擎資訊在11月7日於網站上發出聲明稿澄清,強調Mail2000與Open WebMail是完全不同的系統。

該公司指出,這起攻擊事件中,有心人士建立假帳號偽冒校內人士,是利用人類信任熟識者的弱點,而潛伏其中。雖然電子郵件本身的身分驗證機制,包含SPF、DKIM,以及DMARC等,能夠阻擋外來的冒名信件,但無法用來識別內部人員的身分,因此,他們認為,學校不應只仰賴電子郵件的身分驗證措施,而是應該要搭配其他機制,增加縱深防禦的深度。


Advertisement

更多 iThome相關內容