慶応義塾大学は11月10日、湘南藤沢キャンパス(SFC)の学内システム「SFC-SFS」が不正アクセスを受けた件で、3万1000件以上の個人情報が漏えいした可能性があると明らかにした。10月の発表時点では、個人情報の流出の有無については調査中としていた。
漏えいの可能性があるのは、学生の顔写真データ(1万8636件)、学生の氏名や入学年月日など(5088件)、授業の履修履歴(4493件)、教員の氏名や職位など(2276件)、教員の生年やメールアドレスなど(2276件)、委託業者のメールアドレスなど(233件)、教員の住所(193件)。これら以外の個人情報が流出した可能性もあるとしている。
慶応大によれば、不正アクセスに気づいたのは9月15日の午後5時45分ごろ。学内のネットワークシステムへの不審なアクセスを検知したため詳細を調査したところ、SFC-SFSの脆弱(ぜいじゃく)性を探られていた形跡を確認したという。
その後は利用者にパスワードの変更を促す、不正ログインの監視体制を整えるといった対応を取ったが、28日夜に再び不審なアクセスを検知。改めて調査したところ、29日に情報漏えいの可能性が判明した。
慶応大によれば、犯人は何らかの方法で学内のネットワークシステムやSFC-SFSから教職員19人のIDやパスワードを窃取。盗み取った情報を使ってSFC-SFSに不正ログインしていたという。IDやパスワードの流出経路は調査中で、犯人は不正ログインと同時にSFC-SFSの脆弱性を突いた攻撃も行っていたと説明している。
慶応大はこの事態を受け、9月29日からSFC-SFSを停止し、改めて全利用者にパスワードを変更するよう呼び掛けている。現在はSFC-SFSの脆弱性の修正や不正ログインの監視なども行っており、29日以降の不正アクセスは確認していないという。
今後は再発防止策として、他の学部も含め全学でWebアプリケーションやシステムのセキュリティチェックを実施する予定。11月1日には対策チームも設置しており、外部の専門機関とも連携してセキュリティを強化するとしている。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR