piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

大阪大学への不正アクセスについてまとめてみた

2017年12月13日、大阪大学は学内の情報システムが不正アクセスを受け個人情報が漏えいした可能性があると発表しました。ここでは関連情報をまとめます。

公式発表

大阪大学による公式発表は次の通り。

インシデントタイムライン

日時 出来事
2017年5月18日〜7月4日 大阪大学の学内情報システムで不正アクセスが発生。
2017年6月21日 大阪大学不正アクセスの兆候を把握。*1
学外のセキュリティ会社に調査を依頼。
三者が設置したとみられる解析プログラムを発見。
2017年7月25日 大阪大学が学内のシステムに対して不正アクセスがあったと判断。
2017年8月1日〜28日 大阪大学不正アクセスに対する再発防止策を実施。
2017年12月13日 大阪大学が記者会見。不正アクセスおよび情報漏えいの可能性があると発表。

被害状況

  • 三者により学内システムが不正アクセスを受け、システム内の情報が窃取された、またはその可能性がある。
  • 大阪大学は12月13日発表時点で二次被害確認されていないと報告している。
  • 漏えい対象の情報には医学部付属病院の患者情報は含まれていない。*2
窃取された情報

不正アクセスによる情報漏えい被害は大きく次の2つに分けることができる。

大阪大学へ行われた不正アクセスの流れ
不正アクセスの対象システム 不正アクセスの流れ
教育用計算機システム (1) 何らかの方法により第三者が職員AのID、PWを取得。
(2) 第三者が職員AのID,PWを用いて不正ログイン。
(3) 第三者が不正プログラムを設置。
(4) 第三者が管理者ID,PWを窃取。
(5) 第三者システム内に保存された利用者情報を取得
学内グループウェア (6) 第三者が教育用計算機システムより取得した利用者情報の内、59名分の情報を用いて不正ログイン。
(7) 第三者メール、及び個人情報を含む添付ファイルを閲覧した可能性
  • 職員Aのアカウントはシステム管理者権限を保有していない。
  • 三者によるアクセスはいずれも海外からのアクセスであった。*3
教育用計算機システムの被害

三者により盗み出された情報は次の通り。

  • 職員AのID、PW
  • 管理者のID、PW
  • システムの利用者情報

利用者情報に含まれる個人情報は次の通り。

対象 件数 項目
大阪大学教職員 12,451件 ID、氏名、所属、大阪大学のメールアドレス
大阪大学学生 24,196件 ID、氏名、所属、大阪大学のメールアドレス、入学年度、学籍番号
大阪大学元教職員 9,435件 ID*、氏名、所属、大阪大学のメールアドレス*
大阪大学元学生 23,467件 ID*、氏名、所属、大阪大学のメールアドレス*、入学年度、学籍番号
  • 元教職員、元学生のID、大阪大学のメールアドレスは発表時点で使用ができないものであった。
学内グループウェアの被害
  • 三者により不正ログインを受けたのは59名分
  • 不正ログインは確認されているが、情報漏えいは可能性があると記載。

教職員59名分のメールに含まれていた個人情報は次の通り。

学内外 対象 件数 項目
学外関係者 メール本文、または添付ファイル記載の個人情報 6,042件 氏名、所属、職位、住所、電話番号、メールアドレス
問い合わせに対する返信メール 376件 氏名、所属、電話番号、メールアドレス
近畿地区国立大学法人等職員採用試験合格者名簿 54件 氏名、生年月日、住所、電話番号、メールアドレス、学歴
採用希望者の情報 30件 氏名、生年月日、住所、メールアドレス、学歴、職歴
他大学関係者 420件 氏名、所属、電話番号、メールアドレス
イベント作業者リスト 12件 氏名、所属、住所、電話番号、メールアドレス
イベント参加者名簿(1) 30件 氏名、所属
イベント参加者名簿(2) 86件 氏名、電話番号、メールアドレス
イベント参加者名簿(3) 30件 氏名、所属、電話番号、メールアドレス
イベント参加者名簿(4) 25件 氏名、所属
寄附者名簿 367件 氏名、住所、電話番号、メールアドレス
刊行物送付先リスト 500件 氏名、所属、住所、メールアドレス
学内関係者 メール本文、または添付ファイル記載の個人情報 1,008件 氏名、所属、職名、電話番号、メールアドレス
業務上作成している各種帳票内に存在する職員情報(人事情報) 211件 氏名、生年月日、所属、職名、個人番号(大学が個人ごとに付与している整理番号)
業務上作成している各種帳票内に存在する職員情報(社会保険情報(非常勤職員分)) 591件 氏名、生年月日、個人番号(大学が個人ごとに付与している整理番号)、標準報酬月額、社会保険料
緊急連絡網 252件 氏名、所属、職名、電話番号(自宅、携帯)
システムID発行申請書 469件 氏名、生年月日
財務会計システム担当者登録申請書 1,055件 氏名、大阪大学個人 ID、メールアドレス
学内グループウェアによる情報漏えいが可能性となった理由

個人情報の取り交わしは次のルールとなっていたが、別メールでパスワードを送付したケースが確認されたため閲覧できた可能性がある。

  • 送受信は学内に限定すること
  • 個人情報はメール本文に記載しないこと
  • 個人情報を記載した添付ファイルは暗号化すること
  • 添付ファイルにはパスワードをかけて送受信すること
数字の整理

情報漏えい(の可能性)に関連する数字を整理しておく。

数字 概要
69,549件 教育用計算機システムより窃取されたとみられる個人情報の件数
11,558件 学内グループウェアの不正ログインを通じて閲覧された可能性がある個人情報の件数
81,107件 上2項目の合計件数
59名 学内グループウェアで不正ログインを受けた教職員のアカウント数

発端

  • 6月18日にシステム管理者が管理ツールにログインした際に、通常表示されない警告メッセージが表示されたことによる。

原因

  • 職員AのID、PWが盗み出された手口は判明していない
  • 職員Aが利用するPCのハードディスクをセキュリティ会社が調査したが、不正プログラムは確認されなかった。
  • 職員AへのヒアリングではID、PWの使いまわしはしていないとの回答が行われた。
  • 学内システムはシングルサインオンシステムとなっており、共通のID、PWでログインができるようになっていた。
教育用計算機システムに設置されていた不正プログラム

次の機能を有すると報じられている。

  • 送受信されるデータをキャプチャーする。
  • キャプチャーしたデータからパスワードを解析する。

大阪大学による対策

情報漏えい、及びその可能性がある対象者への措置
  • 情報漏えい、及びその可能性がある対象者へ個別に謝罪。
  • 対象者向けのお相談窓口の開設。
再発防止策

大阪大学は再発防止策として次の対応を取ったことを報告。

  • ID、PWの適正管理に対する周知徹底を改めて実施。
  • 強固なパスワードルールに変更。
  • 全ての利用者のパスワードを変更。
  • 外部のセキュリティ専門機関の支援を受け、セキュリティ強化に努める。
変更されたパスワードルール等の詳細

今回の不正アクセスを受け、パスワードルールが変更された。

対象 変更前 変更後
パスワードの文字種 英大文字、英小文字、数字を含むこと 英大文字、英小文字、数字、記号を含むこと
パスワードの文字数 8〜16文字 12〜16文字
不正ログイン対策 不明 パスワードを10回誤ると一定時間ログイン不可
管理者へメール通知
学外アクセス制限 不明 学内グループウェアの文書管理機能の学外アクセス禁止。

更新履歴

  • 2017年12月14日 AM 新規作成