ITmedia NEWS > セキュリティ >
ニュース
» 2021年05月24日 19時35分 公開

小学校教員がSMSフィッシング被害に 学級名簿などを保存したクラウドストレージの個人アカウントが奪われる

大阪教育大学が、附属小学校の教員1人がスミッシングの被害に遭い、同教員が私的に契約するクラウドストレージ内に保存していた個人情報約3900件が第三者から閲覧可能な状態にあると発表。教員は情報管理のルールを守らず、情報を私的なクラウドストレージに保存していた。

[吉川大貴,ITmedia]

 大阪教育大学(大阪府柏原市)は5月24日、附属小学校の教員1人がスミッシング(SMSによるフィッシング)の被害に遭い、同教員が私的に契約するクラウドストレージ内に保存していた学級名簿などの個人情報約3900件が第三者から閲覧可能な状態にあると発表した。教員は大学が決めた情報管理のルールを守らず、個人情報を私的なクラウドストレージに保存していたという。

 クラウドストレージに保存されていたのは、児童や他の職員が写った顔写真や学校生活の写真3349件、児童の氏名が載った学級名簿(357人分)、児童や職員の氏名が載った写真(70人分)、学生や職員の氏名が載った夏休みの課題の応募用紙(12人分)など。

photo 大阪教育大学

 児童の氏名が載った学級写真(12クラス分)や、同大が運営する情報システムのログインに必要な、IDやパスワードが写った写真も保存されていた。大阪市の教育委員会によれば、教員が以前務めていた別の小学校で撮影した、氏名などが記載された児童の写真(330人分)も、第三者が閲覧可能な状態にあるという。ただし大阪教育大は、24日時点ではこれらの情報が悪用された例は確認していないとしている。

 同大によれば教員は5月3日に、個人のスマートフォンで宅配業者をかたるSMSを受信。自宅に荷物が配達される予定だったため、IDとパスワード、二要素認証用のコードを4日に入力したという。

 その後、教員は自身が契約しているクラウドストレージのアカウントがロックされたことを確認。スミッシングによる乗っ取り被害に遭ったと5日に気付き、6日に大学に報告した。

 事態を受け、同大は教員に向けて情報システムのパスワードを変更するよう指示した他、クラウドストレージの提供会社や警察に詳細を報告した。15日には、学生の保護者にも経緯を説明した。今後は職員へのセキュリティ教育を徹底し、再発防止に努めるとしている。

photo 大阪教育大学の発表

Copyright © ITmedia, Inc. All Rights Reserved.