立命館大学 フィッシングメールを職員が誤って操作しメールアカウントを乗っ取られ国際研修の参加者の情報漏洩

立命館大学によると同大学歴史都市防災研究所(京都市北区)が海外の文化遺産保護や防災の専門家を対象に募集した2018年ユネスコチェア国際研修「文化遺産と危機管理」の研修応募者264人分の個人情報漏洩が判明したとして発表しました。

【概要】

・2018年4月24日(火)、本研修の申し込み受付用メールアカウント(以下、事務局メールアカウント)に対し、メールシステムの管理を装った案内メッセージの受信。

・本研究所の事務局職員が誤って当該メッセージに記載されたURLにアクセス。事務局メールアカウントの設定情報が書き換えられ、この事務局メールアカウントを介して扱っていたメールが外部の電子メールアドレスに転送される設定に変更。

一部のメールには応募期間(4月19日締切)までに届いた応募者の個人情報リストが添付されていたことから、個人情報が漏洩していたことが判明しました。
 なお、この事務局メールアカウントを介して扱っていたメールには、応募者の参加申請書および履歴書を保管していた外部共有フォルダのURLが記載されたものが含まれており、外部共有フォルダにはアクセスを行うためのパスワードが設定されていなかったことから、外部共有フォルダに保存していた応募者の参加申請書および履歴書が漏洩した可能性があります。

【情報漏洩が確認された個人情報】

 (1)応募期間(4月19日締切)に届いた応募者の個人情報リスト(261人分)
氏名、生年月日、年齢、性別、メールアドレス、職位、現職、所属の住所、電話番号(所属・個人・携帯)、学歴、職務経験・年数、国籍、他応募内容に関わる項目
 (2)応募期間後に、設定情報が書き換えられた事務局メールアカウントに送信された応募者の参加申請書および履歴書(3人分)
 ※上記264人はすべて海外からの応募者となります。

【情報漏洩の可能性がある個人情報

 上記(1)の261人分の参加申請書および履歴書。参加申請書には個人情報リストの項目に加え、顔写真、出身地、研究分野・領域、災害領域、自宅住所、職務内容、他応募内容に関わる項目が記載されています。

詳細;立命館大学

今回はフィッシングメールということでサイバー攻撃としては非常にわかりやすいパターンの一つです。こんな使い古された手でも大勢の関係者がかかわると100%防げるとは限りません。うっかり誘導するURLをクリックしてしまうことも当然あります。最近ではシステムにより自動でフィッシングメールを防ぐソリューションもあります。できるだけシステムによる対策を導入した方がより確実に防ぐことができます。

<

『こんな会社が情報漏洩を起こす3つのポイント』セミナー (品川会場/参加費無料) 情報漏洩を起こしてしまった3つの実例を基に有効対策を解説します。