複数の大学でサイバー攻撃による情報流出を確認(東京大学他)

　東京大学は、7月16日、同大学が管理する業務用PCがマルウェアに感染し、情報の流出被害を確認したと発表した。情報が流出した可能性があるのは、約3万6,300件の情報の一部で、現在は被害拡大防止措置が実施されている。

インシデント・事故インシデント・情報漏えい

2015.7.17 Fri 8:00

東京大学「東京大学への不正アクセスによる情報流出被害について」全 4 枚拡大写真

　東京大学は、7月16日、同大学が管理する業務用PCがマルウェアに感染し、情報の流出被害を確認したと発表した。情報が流出した可能性があるのは、約3万6,300件の情報の一部で、現在は被害拡大防止措置が実施されている。

　感染が確認されたのは、東京大学が管理する業務用PC。6月30日に、同大学は教職員の一部と学生の一部のメールを管理する学内メールサーバーの管理画面の設定が変更されていることを発見。調査を行ったところ、同PCに保存されていた学内向けサービスの業務用アカウントが流出していたことが確認された。

　不正アクセスにより流出した可能性がある情報は、システムを利用した一部の学生の利用者ID、初期パスワード、氏名、学生証番号や、平成24年度以降にシステムを利用した教職員の利用者ID、初期パスワード、所属・身分、氏名、学内連絡先など。サーバーの各部署管理担当者のID、初期パスワード、氏名、学内連絡先も流出の可能性があり、合計約3万6,300件の情報の内の一部に流出した可能性が認められている。

　これを受け、東京大学は流出した可能性のあるすべてのパスワードの変更等の対応を実施するとともに、同PCを隔離保全するという対策を取り、被害拡大防止措置を実施した。現在は詳細な原因と影響範囲の分析を進めており、関係者への連絡を開始しているが、二次的被害は確認されていないという。同大は、ホームページでセキュリティに関する機器の増強も含めた業務システムの検討を行い、再発防止に努めるとしている。

　東大のほか、複数の大学でもサイバー攻撃による情報流出が確認されている。7月13日には福岡大学、7月14日には愛媛大学と文化学園大学が不正アクセスによる情報流失やWebサイトに対する攻撃があったことを報告。

　福岡大学では、法学部Webサイトが外部より攻撃を受け、コンテンツを掲載・管理するためのIDと暗号化されたパスワードがネット上に流出。愛媛大学では7月10日に第三者による不正アクセスを受け、メールアドレス366件が流出していたと判明。さらに、文化学園大学は過去のニュースのアーカイブが攻撃されており、過去のニュースの一部が流出したことを報告している。

相次ぐ大学へのサイバー攻撃、東大でも被害

《佐藤亜希@リセマム》