大阪大学 不正アクセスを受け個人情報漏洩

大阪大学によると、同大一教員の ID とパスワードが不正に利用され、平成 29 年 5 月 18 日~7 月 4 日の間 に、教育用計算機システムに不正ログインされ、システム内部に不正プログラムが仕掛けられ、結果、同システムの管理者 ID が盗まれたことにより、同システムから利用者情報が漏洩したとしています。 さらに、学内グループウェアにて、漏洩した利用者情報から教職員 59 名の ID を利用して不正ログインされ、当該教職員のメールに含まれる個人情報が漏洩した可能性
があることが判明いたしました。

【漏洩した可能性のある個人情報】

・本学教職員の ID、氏名、所属、本学発行のメールアドレス 12,451 件
・本学学生の ID、氏名、所属、本学発行のメールアドレス、入学年度、学籍番号
24,196 件
・元教職員の ID(現在使用不可)、氏名、所属、本学発行のメールアドレス(現在使用不
可) 9,435 件
・元学生の ID(現在使用不可)、氏名、所属、本学発行のメールアドレス(現在使用不可)、
入学年度、学籍番号 23,467 件
また、漏洩した可能性のある個人情報(教職員 59 名のメールに含まれるもの)は以下
のとおり。
<学外関係者>
・メール本文または添付ファイルに記載された個人情報:
氏名、所属、職名、住所、電話番号、メールアドレス 6,042 件
・問い合わせに対する返信メール:氏名、所属、電話番号、メールアドレス 376 件
・近畿地区国立大学法人等職員採用試験合格者名簿:氏名、生年月日、住所、電話番号、
メールアドレス、学歴 54 件
・採用希望者の情報:氏名、生年月日、住所、メールアドレス、学歴、職歴 30 件
・他大学関係者:氏名、所属、電話番号、メールアドレス 420 件
・イベント作業者リスト:氏名、所属、住所、電話番号、メールアドレス 12 件
・イベント参加者名簿①:氏名、所属 30 件
・イベント参加者名簿②:氏名、電話番号、メールアドレス 86 件
・イベント参加者名簿③:氏名、所属、電話番号、メールアドレス 30 件
・イベント参加者名簿④:氏名、所属 25 件
・寄附者名簿:氏名、住所、電話番号、メールアドレス 367 件
・刊行物送付先リスト:氏名、所属、住所、メールアドレス 500 件
<学内関係者>
・メール本文または添付ファイルに記載された個人情報:
氏名、所属、職名、電話番号、メールアドレス 1,008 件
・業務上作成している各種帳票内に存在する職員情報
人事情報:
氏名、生年月日、所属、職名、個人番号(大学が個人ごとに付与している整理番号)
211 件
社会保険情報(非常勤職員分):氏名、生年月日、個人番号(大学が個人ごとに付与し
ている整理番号)、標準報酬月額、社会保険料 591 件
・緊急連絡網:氏名、所属、職名、電話番号(自宅、携帯) 252 件
・システムID発行申請書:氏名、生年月日 469 件
・財務会計システム担当者登録申請書:
氏名、大阪大学個人 ID、メールアドレス

(本件連絡先)
総務部総務課文書管理室
電話:06-6879-7011
E-mail:bunsyokanri@office.osaka-u.ac.jp

具体的な不正アクセスの手口までは調査中もり、公表されておりません。直接、サーバーなどの脆弱性を突かれて侵入したか、もしくはマルウエアに感染した職員のPCにバックドアがしかけられ漏洩したのかなど考えられますが分りません。ただ一教員のIDが先に盗まれていることから後者の可能性が高いとみています。このような不正アクセスは後を絶ちませんがそういった事故をみこしてどのようなサイバーセキュリティ対策を取っていたのかが気になるところです。100%の対策は不可能です。しかし多層防御を施すことでその可能性を減らすことは可能です。

詳細;大阪大学

<