慶應義塾大学湘南藤沢キャンパスは11月10日、同キャンパスの情報ネットワークシステム(SFC-CNS)および授業支援システム(SFC-SFS)に対し、外部からの不正アクセスと授業支援システムの脆弱性を突いた攻撃で利用者の個人情報が漏えいした可能性が判明したと発表した。同キャンパスでは10月1日に、SFC-SFSに重大なトラブルがあり9月29日午後10時30分に停止、外部からの不正アクセスの可能性もあり現在調査を行っていると公表していた。
これは9月15日午後5時45分頃に、同学IT部門にて、SFC-CNSに不審なアクセスを検知し詳細を調査したところ、SFC-SFSへの脆弱性探査が散発的に行われた形跡があり、さらに9月28日夜にSFC-SFSへの不審なアクセスを検知したためSFC-SFSシステム上で詳細を調査した結果、9月29日未明にSFC-SFSへの不正アクセスによる情報漏えいの可能性が判明したというもの。何らかの手段で利用者19名(教職員)のSFC-CNSアカウントのIDとパスワードが窃取され、それらを不正利用されてシステムに侵入されたことと、SFC-SFSシステムのWebサービスに存在した脆弱性を利用されたことが主な原因。
漏えいした可能性がある個人情報は以下の通り。
(1)学生情報
件数:5,088件
項目:学籍番号、氏名、アカウント名、同キャンパス発行のメールアドレス、所属情報(学部、学年、クラス、学則)、入学年月日、在籍学期数
対象者:
1.総合政策学部、環境情報学部、政策・メディア研究科、看護医療学部、健康・マネジメント研究科の2020年度秋学期在籍者、2020年度春学期に総合政策学部、環境情報学部
2.政策・メディア研究科の授業を履修した/授業でTA・SAを担当した他キャンパスの学生
(2)学生顔写真データ
件数:18,636件
項目:入学時に学生証のために提出された顔写真のファイル(ファイル名はハッシュ化)
対象者:
1.総合政策学部、環境情報学部、政策・メディア研究科2007年度以降在籍者(既に離籍している学生含む)
2.看護医療学部、健康・マネジメント研究科2016年度以降在籍者(同)
3.総合政策学部、環境情報学部、政策・メディア研究科の特定の授業を履修する他キャンパスの学生29件(同)
(3)履修履歴(単位取得)情報
件数:4,493件
項目:単位取得授業科目の関連情報(科目名、科目担当者、単位取得年度学期)
対象者:
1.総合政策学部、環境情報学部、政策・メディア研究科の2020年3月11日現在在籍者
(4)教員情報
件数:2,276件
項目:教職員番号、氏名、アカウント名、所属(兼務含む)、職位
対象者:
1.総合政策学部、環境情報学部、政策・メディア研究科、看護医療学部、健康・マネジメント研究科に2000年12月以降所属していた専任教員(既に離籍している教員含む)
2.総合政策学部、環境情報学部、政策・メディア研究科で2000年12月以降に授業を担当していた教員(非常勤等)(過去に担当していた教員含む)
(5)教員プロフィールデータ
件数:2,276件
項目:同キャンパス発行のメールアドレス、シラバスシステムおよび教員プロフィールシステムへログインするためのパスワード(SFC-CNSのパスワードとは異なる)、生年
対象者:
1.総合政策学部、環境情報学部、政策・メディア研究科、看護医療学部、健康・マネジメント研究科に2000年12月以降所属していた専任教員(既に離籍している教員含む)
2.総合政策学部、環境情報学部、政策・メディア研究科で2000年12月以降授業を担当していた教員(非常勤等)(過去に担当していた教員含む)
(6)教員住所データ
件数:193件
項目:自宅住所
対象者:
1.2000年12月以降2009年度までに登録された総合政策学部、環境情報学部、政策・メディア研究科、看護医療学部、健康・マネジメント研究科に所属する専任教員(既に離籍している教員含む)
2.2000年12月以降2009年度までに登録された総合政策学部、環境情報学部、政策・メディア研究科で授業を担当する教員(非常勤等)(過去に担当していた教員含む)
※該当する教員(元教員)193名は特定済みで、連絡先の判明する教員には同学から順次連絡を行っている。
(7)教員個人の電子メールデータ
件数:2名
項目:教員個人が保有する電子メールデータ((1)(3)(4)の内容を含む可能性)
対象者:不正アクセスが確認された利用者19名のうちの2名
(8)教員個人の電子メールデータ(8月20日から9月16日受信分)
件数:15名
項目:教員個人が保有する電子メールデータのうち、8月20日から9月16日受信分((1)(3)(4)の内容を含む可能性)
対象者:不正アクセスが確認された利用者19名のうちの15名
(9)教員個人のkeio.jpの電子メールデータ
件数:5名
項目:教員個人が保有するkeio.jpの電子メールデータ((1)(3)(4)の内容を含む可能性。全部まとめて取得したログは残されていない)
(10)教職員個人のユーザホーム上のデータ
件数:19名
項目:教職員個人が保有するユーザホーム上に置かれたデータ((1)(3)(4)の内容を含む可能性)
対象者:不正アクセスが確認された利用者19名
(11)職員および委託業者等情報
件数:233件
項目:教職員番号、氏名、アカウント名、メールアドレス
対象者:
1.慶應義塾に所属し、SFC-CNSアカウントを所有する職員(他地区含む)
2.SFC-CNSアカウントを所有する委託業者等
なお、その他のSFC-CNSおよびSFC-SFSに存在した個人情報についても、漏えいの可能性が完全に否定できない状況という。
同学では不正アクセス判明後、9月16日と9月30日に全利用者のパスワード変更を依頼、9月16日から全ての認証箇所および認証ログ等を継続監視、9月16日から学外からの共用計算サーバへのログインを公開鍵認証のみに限定、脆弱性が確認されたWebサービスの停止と脆弱性箇所の改修を9月16日以降順次実施(SFC-SFSは9月29日)、SFC-SFSのシステムを停止し、総合政策学部、環境情報学部、政策・メディア研究科での秋学期授業開始を当初の10月1日から1週間遅れの10月8日に繰り下げ。
同学では、SFC-CNSアカウントのID・パスワードの漏えい経路について継続調査中で、現在までにSFC-CNSシステム内での具体的な漏えい箇所は確認されていないがシステム内の全ての認証箇所と認証ログ等を継続監視した限り、その後、不審なアクセスは確認されていない。なお、SFC-SFSは9月29日午後10時30分から現在もサービスを停止している。
また、慶應義塾大学は11月10日に、同学内の広範囲のサーバに対し学外からの不正アクセスを確認したと発表、湘南藤沢キャンパス以外にも経営管理研究科Webサーバにて利用者の個人情報が漏えいした可能性が判明した。
同学によると、経営管理研究科Webサーバでは、グループ名簿等が漏えいした可能性があり、対象となる個人に連絡を行っている。なお、現時点で個人情報漏えいによる被害は確認されていない。その他多数のサーバが不正アクセスの被害に遭ったが、ログファイル等の記録を精査した結果、現時点では個人情報漏えいの被害は確認されていないとのこと。
同学では本件に関して、関係省庁や関係機関、警察への被害報告も適切に行っている。
同学では、全学的にWebアプリケーションやシステムのセキュリティチェックと改善、個人情報を守るための取り扱い見直し等、再発防止に向けた対策に取り組むとともに、11月1日付で学内にCSIRTを設置し、全学的にさらなるセキュリティの強化に努めるとのこと。
これは9月15日午後5時45分頃に、同学IT部門にて、SFC-CNSに不審なアクセスを検知し詳細を調査したところ、SFC-SFSへの脆弱性探査が散発的に行われた形跡があり、さらに9月28日夜にSFC-SFSへの不審なアクセスを検知したためSFC-SFSシステム上で詳細を調査した結果、9月29日未明にSFC-SFSへの不正アクセスによる情報漏えいの可能性が判明したというもの。何らかの手段で利用者19名(教職員)のSFC-CNSアカウントのIDとパスワードが窃取され、それらを不正利用されてシステムに侵入されたことと、SFC-SFSシステムのWebサービスに存在した脆弱性を利用されたことが主な原因。
漏えいした可能性がある個人情報は以下の通り。
(1)学生情報
件数:5,088件
項目:学籍番号、氏名、アカウント名、同キャンパス発行のメールアドレス、所属情報(学部、学年、クラス、学則)、入学年月日、在籍学期数
対象者:
1.総合政策学部、環境情報学部、政策・メディア研究科、看護医療学部、健康・マネジメント研究科の2020年度秋学期在籍者、2020年度春学期に総合政策学部、環境情報学部
2.政策・メディア研究科の授業を履修した/授業でTA・SAを担当した他キャンパスの学生
(2)学生顔写真データ
件数:18,636件
項目:入学時に学生証のために提出された顔写真のファイル(ファイル名はハッシュ化)
対象者:
1.総合政策学部、環境情報学部、政策・メディア研究科2007年度以降在籍者(既に離籍している学生含む)
2.看護医療学部、健康・マネジメント研究科2016年度以降在籍者(同)
3.総合政策学部、環境情報学部、政策・メディア研究科の特定の授業を履修する他キャンパスの学生29件(同)
(3)履修履歴(単位取得)情報
件数:4,493件
項目:単位取得授業科目の関連情報(科目名、科目担当者、単位取得年度学期)
対象者:
1.総合政策学部、環境情報学部、政策・メディア研究科の2020年3月11日現在在籍者
(4)教員情報
件数:2,276件
項目:教職員番号、氏名、アカウント名、所属(兼務含む)、職位
対象者:
1.総合政策学部、環境情報学部、政策・メディア研究科、看護医療学部、健康・マネジメント研究科に2000年12月以降所属していた専任教員(既に離籍している教員含む)
2.総合政策学部、環境情報学部、政策・メディア研究科で2000年12月以降に授業を担当していた教員(非常勤等)(過去に担当していた教員含む)
(5)教員プロフィールデータ
件数:2,276件
項目:同キャンパス発行のメールアドレス、シラバスシステムおよび教員プロフィールシステムへログインするためのパスワード(SFC-CNSのパスワードとは異なる)、生年
対象者:
1.総合政策学部、環境情報学部、政策・メディア研究科、看護医療学部、健康・マネジメント研究科に2000年12月以降所属していた専任教員(既に離籍している教員含む)
2.総合政策学部、環境情報学部、政策・メディア研究科で2000年12月以降授業を担当していた教員(非常勤等)(過去に担当していた教員含む)
(6)教員住所データ
件数:193件
項目:自宅住所
対象者:
1.2000年12月以降2009年度までに登録された総合政策学部、環境情報学部、政策・メディア研究科、看護医療学部、健康・マネジメント研究科に所属する専任教員(既に離籍している教員含む)
2.2000年12月以降2009年度までに登録された総合政策学部、環境情報学部、政策・メディア研究科で授業を担当する教員(非常勤等)(過去に担当していた教員含む)
※該当する教員(元教員)193名は特定済みで、連絡先の判明する教員には同学から順次連絡を行っている。
(7)教員個人の電子メールデータ
件数:2名
項目:教員個人が保有する電子メールデータ((1)(3)(4)の内容を含む可能性)
対象者:不正アクセスが確認された利用者19名のうちの2名
(8)教員個人の電子メールデータ(8月20日から9月16日受信分)
件数:15名
項目:教員個人が保有する電子メールデータのうち、8月20日から9月16日受信分((1)(3)(4)の内容を含む可能性)
対象者:不正アクセスが確認された利用者19名のうちの15名
(9)教員個人のkeio.jpの電子メールデータ
件数:5名
項目:教員個人が保有するkeio.jpの電子メールデータ((1)(3)(4)の内容を含む可能性。全部まとめて取得したログは残されていない)
(10)教職員個人のユーザホーム上のデータ
件数:19名
項目:教職員個人が保有するユーザホーム上に置かれたデータ((1)(3)(4)の内容を含む可能性)
対象者:不正アクセスが確認された利用者19名
(11)職員および委託業者等情報
件数:233件
項目:教職員番号、氏名、アカウント名、メールアドレス
対象者:
1.慶應義塾に所属し、SFC-CNSアカウントを所有する職員(他地区含む)
2.SFC-CNSアカウントを所有する委託業者等
なお、その他のSFC-CNSおよびSFC-SFSに存在した個人情報についても、漏えいの可能性が完全に否定できない状況という。
同学では不正アクセス判明後、9月16日と9月30日に全利用者のパスワード変更を依頼、9月16日から全ての認証箇所および認証ログ等を継続監視、9月16日から学外からの共用計算サーバへのログインを公開鍵認証のみに限定、脆弱性が確認されたWebサービスの停止と脆弱性箇所の改修を9月16日以降順次実施(SFC-SFSは9月29日)、SFC-SFSのシステムを停止し、総合政策学部、環境情報学部、政策・メディア研究科での秋学期授業開始を当初の10月1日から1週間遅れの10月8日に繰り下げ。
同学では、SFC-CNSアカウントのID・パスワードの漏えい経路について継続調査中で、現在までにSFC-CNSシステム内での具体的な漏えい箇所は確認されていないがシステム内の全ての認証箇所と認証ログ等を継続監視した限り、その後、不審なアクセスは確認されていない。なお、SFC-SFSは9月29日午後10時30分から現在もサービスを停止している。
また、慶應義塾大学は11月10日に、同学内の広範囲のサーバに対し学外からの不正アクセスを確認したと発表、湘南藤沢キャンパス以外にも経営管理研究科Webサーバにて利用者の個人情報が漏えいした可能性が判明した。
同学によると、経営管理研究科Webサーバでは、グループ名簿等が漏えいした可能性があり、対象となる個人に連絡を行っている。なお、現時点で個人情報漏えいによる被害は確認されていない。その他多数のサーバが不正アクセスの被害に遭ったが、ログファイル等の記録を精査した結果、現時点では個人情報漏えいの被害は確認されていないとのこと。
同学では本件に関して、関係省庁や関係機関、警察への被害報告も適切に行っている。
同学では、全学的にWebアプリケーションやシステムのセキュリティチェックと改善、個人情報を守るための取り扱い見直し等、再発防止に向けた対策に取り組むとともに、11月1日付で学内にCSIRTを設置し、全学的にさらなるセキュリティの強化に努めるとのこと。
