ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2017-12-13

大阪大学への不正アクセスについてまとめてみた

| 05:10 |  大阪大学への不正アクセスについてまとめてみたを含むブックマーク

2017年12月13日、大阪大学は学内の情報システムが不正アクセスを受け個人情報が漏えいした可能性があると発表しました。ここでは関連情報をまとめます。

公式発表

大阪大学による公式発表は次の通り。

インシデントタイムライン

日時出来事
2017年5月18日〜7月4日大阪大学の学内情報システムで不正アクセスが発生。
2017年6月21日大阪大学不正アクセスの兆候を把握。*1
学外のセキュリティ会社に調査を依頼。
第三者が設置したとみられる解析プログラムを発見。
2017年7月25日大阪大学が学内のシステムに対して不正アクセスがあったと判断。
2017年8月1日〜28日大阪大学不正アクセスに対する再発防止策を実施。
2017年12月13日大阪大学記者会見不正アクセスおよび情報漏えいの可能性があると発表。

被害状況

  • 第三者により学内システムが不正アクセスを受け、システム内の情報が窃取された、またはその可能性がある。
  • 大阪大学は12月13日発表時点で二次被害確認されていないと報告している。
  • 漏えい対象の情報には医学部付属病院の患者情報は含まれていない。*2
窃取された情報

不正アクセスによる情報漏えい被害は大きく次の2つに分けることができる。

大阪大学へ行われた不正アクセスの流れ
不正アクセスの対象システム不正アクセスの流れ
教育用計算機システム(1) 何らかの方法により第三者職員AのID、PWを取得。
(2) 第三者職員AのID,PWを用いて不正ログイン
(3) 第三者が不正プログラムを設置。
(4) 第三者管理者ID,PWを窃取。
(5) 第三者システム内に保存された利用者情報を取得
学内グループウェア(6) 第三者が教育用計算機システムより取得した利用者情報の内、59名分の情報を用いて不正ログイン
(7) 第三者メール、及び個人情報を含む添付ファイルを閲覧した可能性
教育用計算機システムの被害

第三者により盗み出された情報は次の通り。

利用者情報に含まれる個人情報は次の通り。

対象件数項目
大阪大学職員12,451件ID、氏名、所属、大阪大学メールアドレス
大阪大学学生24,196件ID、氏名、所属、大阪大学メールアドレス入学年度、学籍番号
大阪大学元教職員9,435件ID*、氏名、所属、大阪大学メールアドレス
大阪大学元学生23,467件ID*、氏名、所属、大阪大学メールアドレス*、入学年度、学籍番号
学内グループウェアの被害

職員59名分のメールに含まれていた個人情報は次の通り。

学内外対象件数項目
学外関係者メール本文、または添付ファイル記載の個人情報6,042件氏名、所属、職位、住所、電話番号メールアドレス
問い合わせに対する返信メール376件氏名、所属、電話番号メールアドレス
近畿地区国立大学法人職員採用試験合格者名簿54件氏名、生年月日、住所、電話番号メールアドレス学歴
採用希望者の情報30件氏名、生年月日、住所、メールアドレス学歴、職歴
他大学関係者420件氏名、所属、電話番号メールアドレス
イベント作業者リスト12件氏名、所属、住所、電話番号メールアドレス
イベント参加者名簿(1)30件氏名、所属
イベント参加者名簿(2)86件氏名、電話番号メールアドレス
イベント参加者名簿(3)30件氏名、所属、電話番号メールアドレス
イベント参加者名簿(4)25件氏名、所属
寄附者名簿367件氏名、住所、電話番号メールアドレス
刊行物送付先リスト500件氏名、所属、住所、メールアドレス
学内関係者メール本文、または添付ファイル記載の個人情報1,008件氏名、所属、職名、電話番号メールアドレス
業務上作成している各種帳票内に存在する職員情報(人事情報)211件氏名、生年月日、所属、職名、個人番号(大学が個人ごとに付与している整理番号)
業務上作成している各種帳票内に存在する職員情報(社会保険情報(非常勤職員分))591件氏名、生年月日、個人番号(大学が個人ごとに付与している整理番号)、標準報酬月額、社会保険料
緊急連絡網252件氏名、所属、職名、電話番号(自宅、携帯)
システムID発行申請469件氏名、生年月日
財務会計システム担当者登録申請1,055件氏名、大阪大学個人 ID、メールアドレス
学内グループウェアによる情報漏えいが可能性となった理由

個人情報の取り交わしは次のルールとなっていたが、別メールでパスワードを送付したケースが確認されたため閲覧できた可能性がある。

  • 送受信は学内に限定すること
  • 個人情報はメール本文に記載しないこと
  • 個人情報を記載した添付ファイルは暗号化すること
  • 添付ファイルにはパスワードをかけて送受信すること
数字の整理

情報漏えい(の可能性)に関連する数字を整理しておく。

数字概要
69,549件教育用計算機システムより窃取されたとみられる個人情報件数
11,558件学内グループウェアの不正ログインを通じて閲覧された可能性がある個人情報件数
81,107件上2項目の合計件数
59名学内グループウェアで不正ログインを受けた教職員アカウント

発端

原因

教育用計算機システムに設置されていた不正プログラム

次の機能を有すると報じられている。

  • 送受信されるデータをキャプチャーする。
  • キャプチャーしたデータからパスワードを解析する。

大阪大学による対策

情報漏えい、及びその可能性がある対象者への措置
  • 情報漏えい、及びその可能性がある対象者へ個別に謝罪
  • 対象者向けのお相談窓口の開設。
再発防止策

大阪大学は再発防止策として次の対応を取ったことを報告。

変更されたパスワードルール等の詳細

今回の不正アクセスを受け、パスワードルールが変更された。

対象変更前変更後
パスワードの文字種英大文字、英小文字、数字を含むこと英大文字、英小文字、数字、記号を含むこと
パスワードの文字数8〜16文字12〜16文字
不正ログイン対策不明パスワードを10回誤ると一定時間ログイン不可
管理者へメール通知
学外アクセス制限不明学内グループウェア文書管理機能の学外アクセス禁止。

更新履歴

  • 2017年12月14日 AM 新規作成