piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

首都大学東京の個人情報流出の可能性についてまとめてみた

2015年1月19日に首都大学東京は同大学内に設置されたNASから個人情報が流出した恐れがあることを発表しました。ここでは関連情報をまとめます。

タイムライン

日付 出来事
2014年8月22日 首都大学東京NASが設置された。
2015年1月1日 首都大学東京へ学外より外部から個人情報が公開状態にあると情報提供。
2015年1月5日 首都大学東京が情報提供を確認し、NASの設定を変更。
2015年1月19日 首都大学東京個人情報流出の恐れについて発表。

被害詳細

流出した(可能性のある)情報
  • 以下の合計約5万1千人の個人情報が対象。
  • 対象は2010年度〜2014年度に入学した学生(合格者)の情報が含まれる。*1
  • この内、2,000件は学外の個人情報が含まれる。
  • NASに格納されていたデータの多くはパスワード等によるアクセス制限は行っていなかった。
  • 発表時点での情報悪用は確認されていない。
首都大学東京が発表した主な流出(した可能性のある)データ
No データ内容 具体的項目 流出件数
1 英語クラス編成試験関連のデータ 氏名、TOEICスコア 約15,000件
2 入学手続予定者関連のデータ 氏名、住所、電話番号、生年月日 約10,000件
内1,500件は学外の個人情報
3 教員関連のデータ(非常勤含む) 氏名、住所、メールアドレス 約9,000件
4 2年次修了判定関連のデータ 氏名、修得単位数、GPA 約5,100件
5 1,2年生コース決定関連のデータ 氏名、生年月日、電話番号 約4,900件
6 教職課程履修者関連のデータ 氏名、生年月日、電話番号 約3,300件
7 教員免許状更新講習受講者関連のデータ 氏名、住所、電話番号、生年月日 学外の約400件
設置されたNASに関する情報
  • NASは市販の汎用品。
  • 既定設定で外部からアクセス(FTP)が可能な状態で出荷されている製品。
  • 設置に設定を変更する必要があったが、これを変更せずに使用していた。
  • FTPアクセスの際はID,パスワードの入力が必要ない状態であった。
NASへ行われたアクセスに関する情報
  • 学外からのアクセスはIPアドレスベースで85個、回数は1027回。*2
  • この回数は履歴が残っている期間 120日間分であり、それ以前ににもアクセスがあった可能性がある。*3

発端

  • 2015年1月1日に受けた情報提供を2015年1月5日に確認したことによる。
  • 情報提供はメールによる連絡。
  • 指摘内容は「アクセスが可能になっている」といったもの。

原因

  • 設定変更を行わず既定設定のNASを外部公開された学内のネットワークに設置したため。
  • 2014年8月22日にNASを更新した。
  • 設置は業者が対応にあたっていたと報道。*4

対応

  • 2015年1月5日 NASの設定を変更(FTP共有の無効化)
  • 2015年1月19日 情報流出の可能性について発表
  • 2015年1月19日 理事長名でお詫びを掲載
  • 2015年1月19日 問い合わせ窓口の設置
    • 2015年1月20日までに約30件の問合せがあった。
  • 学内の情報セキュリティ対策の強化
  • 情報セキュリティ及び個人情報管理にかかる教職員に対する教育・指導の徹底
  • 新たな再発防止策の検討
問合せ先
  • 問合せ受付時間 平日 9時〜18時
  • 042-677-2005

更新履歴

  • 2015年1月19日 PM 新規作成
  • 2015年1月20日 AM 続報追加