慶應義塾大学は12月26日、不正アクセスによる個人情報漏えいの可能性について発表した。
これは2025年11月26日に、湘南藤沢キャンパスのメールシステムのスパムメール隔離サーバでの不審な通信が判明したため、同日中に侵入経路を封鎖し、スパムメール隔離サーバのメーカーであるシスコシステムズ合同会社に情報を提供し調査を進めた結果、同機器上で動作しているソフトウェアの未知の脆弱性を利用して不正アクセスされた可能性が高いことが、12月18日に判明したというもの。さらに調査を行った結果、スパムメール隔離サーバが参照していたディレクトリサーバから、個人情報を含むデータが外部へ漏えいした可能性があることが12月22日に判明している。
漏えいした可能性のある情報は下記の通り。
●漏えいがほぼ確実なデータ:ディレクトリサーバ上の情報
・現在SFC-CNS(湘南藤沢キャンパスが学生・教職員に提供する独自のネットワークシステムにおけるメールサービス)を利用しているユーザー(学生、教員、職員、その他)と2025年9月卒業生、および2025年8月28日以降にアカウントを停止したユーザー計6,447件のメールアドレス、ログイン用パスワードのハッシュ、メール用のパスワード(平文)、Wi-Fi用のパスワード(可逆暗号化)、漢字氏名、アルファベット氏名、学籍番号または教職員番号、転送先メールアドレス、その他、システムで用いる各種データ。
・2025年3月卒業生 計1,025件のメールアドレス。
●漏えいの可能性があるデータ:スパムメール隔離サーバ上の情報
・隔離されたメール総数(多くがスパムメール)最大222,508通(隔離サービス利用中のメールアドレス数984件)。
・セーフリスト/ブロックリストに含まれるメールアドレス、ドメイン数 最大1,613件(重複を除くと1,102件)。
なお同学では、転送されたデータ量から推定して、スパムメール隔離サーバ上の情報が大量流出した可能性は低いと判断している。
同学ではさらなる不正アクセス防止のため、12月23日に全アカウントのメールパスワード強制リセットを、12月25日にログインパスワードの強制リセットを行っているとのこと。
