2024年6月30日をもって,本サイトの更新を停止しました.今後教育用計算機システムに関する情報は utelecon 情報システムの総合案内サイト @ 東京大学で提供します.
メールのログからのパスワード削除
カテゴリ別一覧
更新: 2018年09月05日
作成: 2018年09月05日
2016年8月にECCS教職員メール (@mail.ecc.u-tokyo.ac.jp) およびメールホスティングサービスの現システムが稼働開始していますが,メールサーバの利用者が,2018年5月20日以前にメールクライアントから接続して送信した際に使用したパスワード(ログイン失敗時に送られたパスワードを含む)が送信ログに復号可能な形で残っていました.
- 送信ログはシステム管理者のみが参照可能な領域に保存されるので,システムの脆弱性等がなければ,第3者に知られている可能性はありません.
- 送信ログがシステム管理者以外に流出する可能性のあるインシデント,脆弱性等は現システム,および前システムで確認されていません(2015年7月に情報基盤センターの業務用PCがマルウェアに感染し,情報流出被害が確認されましたが,接続ログは流出していません).
- Webインタフェースからメール送信を実行する場合や,IMAP, POP でメールを取得する際には同様の情報は接続ログに残りません.
メールサーバのシステム管理者がユーザのパスワードを知ることが可能だという状態は望ましくないので,2018年5月20日に送信ログ中のパスワードを復号可能な形で残さない改修をおこない,その後,2016年8月から2018年5月20日までの送信ログから復号可能なパスワードをマスクする作業を実施しました.
差し迫った危険があるわけではありませんが,2016年8月から2018年5月20日までの間にECCS教職員メール (@mail.ecc.u-tokyo.ac.jp) およびメールホスティングサービスにメールクライアントからメール送信をおこなったユーザの方は,同じパスワードを現在もお使いの場合,および他のサービスでお使いの場合(他のサービスと同じパスワードを使うことは推奨していません)は変更することをお勧めします.
利用者の皆様にご心配をおかけすることをお詫び申し上げます.
