2017年12月13日、大阪大学は学内の情報システムが不正アクセスを受け個人情報が漏えいした可能性があると発表しました。ここでは関連情報をまとめます。
インシデントタイムライン
| 日時 | 出来事 |
|---|---|
| 2017年5月18日〜7月4日 | 大阪大学の学内情報システムで不正アクセスが発生。 |
| 2017年6月21日 | 大阪大学が不正アクセスの兆候を把握。*1 |
| : | 学外のセキュリティ会社に調査を依頼。 |
| : | 第三者が設置したとみられる解析プログラムを発見。 |
| 2017年7月25日 | 大阪大学が学内のシステムに対して不正アクセスがあったと判断。 |
| 2017年8月1日〜28日 | 大阪大学が不正アクセスに対する再発防止策を実施。 |
| 2017年12月13日 | 大阪大学が記者会見。不正アクセスおよび情報漏えいの可能性があると発表。 |
被害状況
- 第三者により学内システムが不正アクセスを受け、システム内の情報が窃取された、またはその可能性がある。
- 大阪大学は12月13日発表時点で二次被害確認されていないと報告している。
- 漏えい対象の情報には医学部付属病院の患者情報は含まれていない。*2
窃取された情報
不正アクセスによる情報漏えい被害は大きく次の2つに分けることができる。
大阪大学へ行われた不正アクセスの流れ
| 不正アクセスの対象システム | 不正アクセスの流れ |
|---|---|
| 教育用計算機システム | (1) 何らかの方法により第三者が職員AのID、PWを取得。 |
| 〃 | (2) 第三者が職員AのID,PWを用いて不正ログイン。 |
| 〃 | (3) 第三者が不正プログラムを設置。 |
| 〃 | (4) 第三者が管理者ID,PWを窃取。 |
| 〃 | (5) 第三者がシステム内に保存された利用者情報を取得。 |
| 学内グループウェア | (6) 第三者が教育用計算機システムより取得した利用者情報の内、59名分の情報を用いて不正ログイン。 |
| 〃 | (7) 第三者がメール、及び個人情報を含む添付ファイルを閲覧した可能性。 |
教育用計算機システムの被害
第三者により盗み出された情報は次の通り。
- 職員AのID、PW
- 管理者のID、PW
- システムの利用者情報
利用者情報に含まれる個人情報は次の通り。
| 対象 | 件数 | 項目 |
|---|---|---|
| 大阪大学教職員 | 12,451件 | ID、氏名、所属、大阪大学のメールアドレス |
| 大阪大学学生 | 24,196件 | ID、氏名、所属、大阪大学のメールアドレス、入学年度、学籍番号 |
| 大阪大学元教職員 | 9,435件 | ID*、氏名、所属、大阪大学のメールアドレス* |
| 大阪大学元学生 | 23,467件 | ID*、氏名、所属、大阪大学のメールアドレス*、入学年度、学籍番号 |
- 元教職員、元学生のID、大阪大学のメールアドレスは発表時点で使用ができないものであった。
学内グループウェアの被害
- 第三者により不正ログインを受けたのは59名分
- 不正ログインは確認されているが、情報漏えいは可能性があると記載。
教職員59名分のメールに含まれていた個人情報は次の通り。
| 学内外 | 対象 | 件数 | 項目 | |
|---|---|---|---|---|
| 学外関係者 | メール本文、または添付ファイル記載の個人情報 | 6,042件 | 氏名、所属、職位、住所、電話番号、メールアドレス | |
| 〃 | 問い合わせに対する返信メール | 376件 | 氏名、所属、電話番号、メールアドレス | |
| 〃 | 近畿地区国立大学法人等職員採用試験合格者名簿 | 54件 | 氏名、生年月日、住所、電話番号、メールアドレス、学歴 | |
| 〃 | 採用希望者の情報 | 30件 | 氏名、生年月日、住所、メールアドレス、学歴、職歴 | |
| 〃 | 他大学関係者 | 420件 | 氏名、所属、電話番号、メールアドレス | |
| 〃 | イベント作業者リスト | 12件 | 氏名、所属、住所、電話番号、メールアドレス | |
| 〃 | イベント参加者名簿(1) | 30件 | 氏名、所属 | |
| 〃 | イベント参加者名簿(2) | 86件 | 氏名、電話番号、メールアドレス | |
| 〃 | イベント参加者名簿(3) | 30件 | 氏名、所属、電話番号、メールアドレス | |
| 〃 | イベント参加者名簿(4) | 25件 | 氏名、所属 | |
| 〃 | 寄附者名簿 | 367件 | 氏名、住所、電話番号、メールアドレス | |
| 〃 | 刊行物送付先リスト | 500件 | 氏名、所属、住所、メールアドレス | |
| 学内関係者 | メール本文、または添付ファイル記載の個人情報 | 1,008件 | 氏名、所属、職名、電話番号、メールアドレス | |
| 〃 | 業務上作成している各種帳票内に存在する職員情報(人事情報) | 211件 | 氏名、生年月日、所属、職名、個人番号(大学が個人ごとに付与している整理番号) | |
| 〃 | 業務上作成している各種帳票内に存在する職員情報(社会保険情報(非常勤職員分)) | 591件 | 氏名、生年月日、個人番号(大学が個人ごとに付与している整理番号)、標準報酬月額、社会保険料 | |
| 〃 | 緊急連絡網 | 252件 | 氏名、所属、職名、電話番号(自宅、携帯) | |
| 〃 | システムID発行申請書 | 469件 | 氏名、生年月日 | |
| 〃 | 財務会計システム担当者登録申請書 | 1,055件 | 氏名、大阪大学個人 ID、メールアドレス |
学内グループウェアによる情報漏えいが可能性となった理由
個人情報の取り交わしは次のルールとなっていたが、別メールでパスワードを送付したケースが確認されたため閲覧できた可能性がある。
- 送受信は学内に限定すること
- 個人情報はメール本文に記載しないこと
- 個人情報を記載した添付ファイルは暗号化すること
- 添付ファイルにはパスワードをかけて送受信すること
発端
- 6月18日にシステム管理者が管理ツールにログインした際に、通常表示されない警告メッセージが表示されたことによる。
原因
- 職員AのID、PWが盗み出された手口は判明していない。
- 職員Aが利用するPCのハードディスクをセキュリティ会社が調査したが、不正プログラムは確認されなかった。
- 職員AへのヒアリングではID、PWの使いまわしはしていないとの回答が行われた。
- 学内システムはシングルサインオンシステムとなっており、共通のID、PWでログインができるようになっていた。
教育用計算機システムに設置されていた不正プログラム
次の機能を有すると報じられている。
- 送受信されるデータをキャプチャーする。
- キャプチャーしたデータからパスワードを解析する。
大阪大学による対策
情報漏えい、及びその可能性がある対象者への措置
- 情報漏えい、及びその可能性がある対象者へ個別に謝罪。
- 対象者向けのお相談窓口の開設。
再発防止策
大阪大学は再発防止策として次の対応を取ったことを報告。
- ID、PWの適正管理に対する周知徹底を改めて実施。
- 強固なパスワードルールに変更。
- 全ての利用者のパスワードを変更。
- 外部のセキュリティ専門機関の支援を受け、セキュリティ強化に努める。
更新履歴
- 2017年12月14日 AM 新規作成
*1:大阪大学で個人情報8万件超漏洩か、管理者IDで不正ログインの可能性,ITpro,20917年12月14日アクセス
*2:大阪大学で不正アクセス 約7万人分の個人情報流出,NHK,2017年12月14日アクセス
*3:阪大で情報漏えい、約8万1000件か,読売新聞l,2017年12月14日アクセス
