島根大学によると、同学附属図書館のホームページ等を公開しているWebサーバにおいて,利用者向けのアンケート調査や主催するイベントへの申込みを受け付けるために公開していたアンケート管理システムのサイバーセキュリティ対策に脆弱性が見つかり、アンケート調査やイベントへの参加申込みのために入力された個人情報が外部から閲覧可能な状態になっていたことが分かったとのことです。個人情報漏えいの可能性がある利用者には,郵送やメール等で個別にご連絡と,お詫びとご報告を実施するとしています。
【経緯】
本年8月下旬に附属図書館のWebサーバ上で管理していたアンケート管理システムにおいて,不正アクセスの痕跡を発見したため,学外及び学内ネットワークから切断し調査を実施。
調査の結果,セキュリティ対策が十分なされていなかったため,本来管理者のみがアクセスするべきアンケート管理用の画面が,特定の操作を行うことで学外からも閲覧可能な状態になっていたことが判明。
これにより,当該アンケートシステムを利用して,附属図書館が実施した各種アンケート調査やイベント参加申込みのために入力された個人情報が漏えいした可能性があるとしています。
※なお,現在図書館のウェブサイトは学外も含めアクセスできるようになっておりますが,安全性が確認できたページ及びコンテンツのみ公開しています。
【漏洩した可能性のある情報】
実施したアンケート(又はイベント)により異なりますが,アンケート(又はイベント申込)フォームにご入力した個人情報(氏名,所属機関名,電話番号,メールアドレス)を含む回答内容等。
相談窓口
【平成29年10月17日(午後)~11月30日まで】
専用フリーダイヤル 0120-932-243
受付時間: 8:30~17:15(土・日・祝日を除きます。)
【平成29年12月1日以降】
島根大学企画部図書情報課
電話番号:0852-32-6085
受付時間: 8:30~17:15(土・日・祝日を除きます。)
本件ではWebサーバーへの不正アクセスに留まりそれ以上の詳細は発表されていませんが不正アクセスの痕跡を見つけたとのことですので何らかのサイバー攻撃がなされたことは確かなようです。一つにはアンケートシステムで取得した個人情報をそのままサーバー内に格納したままにする運用方法にも問題があったと思われます。取得したデータは適宜、しかるべきローカル環境にDLし保存した上でサーバー上からは削除する運用であればこのようなインシデントは避けれたあずです。このようにサイバー攻撃は100%避けられないと認識し、対策をしたうえで、運用方法にも気を遣う必要があります。
詳細;島根大学
関連;最適な総合サイバーセキュリティ対策を構築します『サイバーセキュリティ対策サービス』