慶應義塾大学は、湘南藤沢キャンパス(SFC)の情報ネットワークシステム「SFC-CNS」と授業支援システム「SFC-SFS」に対する不正アクセスが行われ、11種類のデータが漏えいした恐れがあると発表した。
慶大によると、不正アクセスは、教職員19人のIDとパスワードが何らかの方法で窃取され、それを用いてSFC-SFSのウェブサービスの脆弱性を突く攻撃によって行われた。9月15日午後5時45分頃にSFC-CNSで不審なアクセスを検知したといい、SFC-SFSで脆弱性を探す行為が散発的にあった形跡が見つかった。同月28日夜にもSFC-SFSで不審なアクセスが検知され、詳しい調査で翌29日未明に情報漏えいの恐れが浮上した。
不正アクセス検知後に慶大は、全利用者にパスワード変更を依頼し、全ての認証と認証ログなどを継続監視中、学外から共用する計算サーバーへのログインは公開鍵認証に限定しているほか、脆弱性が見つかったウェブサービスの停止と脆弱性の改修を順次進めている。
SFC-SFSは11月11日現在も停止中で、この影響により総合政策学部と環境情報学部、政策・メディア研究科では秋学期授業開始が10月1日から8日に繰り下げられた。また、11月1日付けでCSIRTを立ち上げた。
外部に漏えいした恐れのあるデータの種類と規模は以下の通り。
- 学生情報:学籍番号、氏名、アカウント名、メールアドレス、学部、学年、クラス、学則、入学年月日、在籍学期数(5088件)
- 学生顔写真:入学時に学生証のために提出された顔写真のファイル(1万8636件)
- 履修履歴:単位取得授業の科目、科目担当者、単位取得年度学期(4493件)
- 教員情報::教職員番号、氏名、アカウント名、兼務含む所属、職位(2276件)
- 教員プロフィール:メールアドレス、シラバスシステムおよび教員プロフィールシステムへログインするためのパスワード、生年(2276件)
- 教員住所:自宅住所(193件)
- 教員個人の電子メール:教員個人が保有する電子メールデータ(2件、上記データを含む可能性あり)
- 教員個人の電子メール:8月20日~9月16日受信分(15件、上記データを含む可能性あり)
- 教員個人の「keio.jp」の電子メール:教員個人が保有するkeio.jpの電子メールデータ(5件、上記データを含む可能性あり)
- 教職員個人のユーザホーム:教職員個人が保有するユーザホーム上に置かれたデータ(19件、上記データを含む可能性あり)
- 職員と委託業者などの情報:教職員番号、氏名、アカウント名、メールアドレス(213件)
なお、これら以外のデータも漏えいしている恐れを否定できないとしている。
