教員がスミッシング被害に、規定に反し利用のクラウドストレージの個人情報が閲覧可能に | ScanNetSecurity
2024.02.21(水)

教員がスミッシング被害に、規定に反し利用のクラウドストレージの個人情報が閲覧可能に

国立大学法人大阪教育大学は5月24日、同学教員の私的アカウントへの不正アクセスによる情報漏えいについて発表した。

インシデント・事故 インシデント・情報漏えい
トップページ
トップページ 全 3 枚 拡大写真
 国立大学法人大阪教育大学は5月24日、同学教員の私的アカウントへの不正アクセスによる情報漏えいについて発表した。

 これは5月3日に、同学教員個人のスマートフォン宛に宅配業者を名乗るショートメール(SMS)が届き、荷物の宅配予定があったため、要求されたクラウドサービスに影響を及ぼすIDとパスワード並びに2ファクター認証コードを5月4日に入力したところ、5月5日にクラウドサービスのアカウントがロックされていることが発覚し、宅配業者を騙るスミッシングが判明したというもの。本件により、クラウドストレージに保存された個人情報が閲覧可能となった。

 当該教員は個人のスマートフォンを使用し業務の写真撮影を行い、保存や送信禁止の規定に反してクラウドストレージに個人情報を含む業務上のデータを保存していた。クラウドストレージは当該教員が個人用として契約していたもので、スマートフォンやタブレットと同期する設定であったため、個人的な写真とともに下記の情報が保存されていた。

・当該教員以外の個人情報が含まれた写真:73枚
当該教員以外の個人の名前、住所が記載されている書類の一部:1名分
当該教員以外の個人の名前が記載されている学級写真:12クラス分
当該教員以外の個人の名前が記載されている個人写真:70名分
担任のコメントが記載された当該教員以外の個人写真:105名分
保護者から担任への相談内容が記された連絡帳:2名分
当該教員以外の個人の名前が記載されている夏休み課題の応募用紙:12名分
個人の名前が特定される学級名簿:延べ357名分

・当該教員以外の個人の顔写真や学校生活の様子の写真:3,349枚

・その他の写真
本学情報システムの複数教員のIDとパスワードを撮影した写真

・前職中における当該教員以外の個人の情報が含まれた写真
当該教員が前職(教諭)中に撮影した個人情報が含まれる写真も多数含まれており、大阪市教育委員会と対応を検討している

 同学では対象の保護者に対し、5月15日付で経緯説明と謝罪の文書を配布した。

 当該教員は5月6日に、副校長を通じ大学へ通報、大阪教育大学情報インシデント対応チーム(CSIRT)において調査し、「本学情報システムの複数教員のIDとパスワードを撮影した写真」に含まれる、保存されていた複数教員のパスワードの変更を行うとともに、クラウドサービス事業者と警察に事態を連絡し対応の相談を行っている。

 同学では今後、教職員に対する情報セキュリティ教育の徹底を図り、再発防止に努めるとのこと。

《ScanNetSecurity》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 「セキュリティ技術者の“思考”を覗く」~ SHIFT SECURITY、17種類のサイバー攻撃の解説と対策資料公開

    「セキュリティ技術者の“思考”を覗く」~ SHIFT SECURITY、17種類のサイバー攻撃の解説と対策資料公開PR

  2. スパム電子メールを作成するPegasusトロイの木馬

    スパム電子メールを作成するPegasusトロイの木馬

  3. 勤務時間外の上司のメールは懲役 ~ 豪 つながらない権利法案 性急な法制化

    勤務時間外の上司のメールは懲役 ~ 豪 つながらない権利法案 性急な法制化

  4. セキュリティ強化費用で利益大幅減、エムケイシステムへのランサムウェア攻撃

    セキュリティ強化費用で利益大幅減、エムケイシステムへのランサムウェア攻撃

  5. 中小企業で数千万円単位の被害も、JNSA「インシデント損害額調査レポート 第2版」公開

    中小企業で数千万円単位の被害も、JNSA「インシデント損害額調査レポート 第2版」公開

  6. 住友重機械工業のサーバに不正アクセス、「なりすましメール」への注意喚起も発表

    住友重機械工業のサーバに不正アクセス、「なりすましメール」への注意喚起も発表

  7. 求職サイト「ホワイトメーカーズ」が改ざん被害、個人情報が外部流出した可能性否定できず

    求職サイト「ホワイトメーカーズ」が改ざん被害、個人情報が外部流出した可能性否定できず

  8. ISC BIND に複数の脆弱性、バージョンアップを強く推奨

    ISC BIND に複数の脆弱性、バージョンアップを強く推奨

  9. 臨床検査事業を行うアイルにランサムウェア攻撃、検体検査の遅延が発生

    臨床検査事業を行うアイルにランサムウェア攻撃、検体検査の遅延が発生

  10. ほくやく・竹山ホールディングスにランサムウェア攻撃、コールセンターとメールシステムは制限付きで稼働

    ほくやく・竹山ホールディングスにランサムウェア攻撃、コールセンターとメールシステムは制限付きで稼働

ランキングをもっと見る