本学では、2018年5月に発生したフィッシングメールにより、利用者のID・パスワードが流出したため、攻撃者によって不正転送がなされ、利用者のメールが漏洩する被害が生じました。
この再発防止策として、2019年1月下旬以降は、学外からのYCUメール(Office365)利用に際して、利用者本人が適正に利用していることを保証するために、ID・パスワードだけでなく本人が所有する携帯電話などに別のパスコードを送ることで、それがなければ利用ができない「多要素認証」を必須としました。
しかし、YCUメールを外部ドメインのメールアドレスへ自動的に転送し、その転送先でのメール利用を中心としていた場合、その利用者情報の管理方法や本人認証の仕組みが仮に脆弱であったならば、その自動転送されたメール内容がそこから漏洩する可能性があることから、多要素認証を導入した効果を相殺しかねません。そのため、この多要素認証の導入を機に、これまで特に制限を設けていなかった自動転送の設定については原則として禁止することにしたものです。
※なお、他大学ではこのような事例も公表されており(兵庫教育大の2018年12月17日の記者発表資料)、リスクがないということは過信でしかないことから、本学としては今回、自動的な転送設定を無条件で容認することはできない、と判断しております。