慶大SFCに不正アクセス、学生顔写真など11種類のデータが漏えいか

ZDNET Japan Staff

2020-11-11 17:15

 慶應義塾大学は、湘南藤沢キャンパス(SFC)の情報ネットワークシステム「SFC-CNS」と授業支援システム「SFC-SFS」に対する不正アクセスが行われ、11種類のデータが漏えいした恐れがあると発表した。

 慶大によると、不正アクセスは、教職員19人のIDとパスワードが何らかの方法で窃取され、それを用いてSFC-SFSのウェブサービスの脆弱性を突く攻撃によって行われた。9月15日午後5時45分頃にSFC-CNSで不審なアクセスを検知したといい、SFC-SFSで脆弱性を探す行為が散発的にあった形跡が見つかった。同月28日夜にもSFC-SFSで不審なアクセスが検知され、詳しい調査で翌29日未明に情報漏えいの恐れが浮上した。

 不正アクセス検知後に慶大は、全利用者にパスワード変更を依頼し、全ての認証と認証ログなどを継続監視中、学外から共用する計算サーバーへのログインは公開鍵認証に限定しているほか、脆弱性が見つかったウェブサービスの停止と脆弱性の改修を順次進めている。

 SFC-SFSは11月11日現在も停止中で、この影響により総合政策学部と環境情報学部、政策・メディア研究科では秋学期授業開始が10月1日から8日に繰り下げられた。また、11月1日付けでCSIRTを立ち上げた。

 外部に漏えいした恐れのあるデータの種類と規模は以下の通り。

  1. 学生情報:学籍番号、氏名、アカウント名、メールアドレス、学部、学年、クラス、学則、入学年月日、在籍学期数(5088件)
  2. 学生顔写真:入学時に学生証のために提出された顔写真のファイル(1万8636件)
  3. 履修履歴:単位取得授業の科目、科目担当者、単位取得年度学期(4493件)
  4. 教員情報::教職員番号、氏名、アカウント名、兼務含む所属、職位(2276件)
  5. 教員プロフィール:メールアドレス、シラバスシステムおよび教員プロフィールシステムへログインするためのパスワード、生年(2276件)
  6. 教員住所:自宅住所(193件)
  7. 教員個人の電子メール:教員個人が保有する電子メールデータ(2件、上記データを含む可能性あり)
  8. 教員個人の電子メール:8月20日~9月16日受信分(15件、上記データを含む可能性あり)
  9. 教員個人の「keio.jp」の電子メール:教員個人が保有するkeio.jpの電子メールデータ(5件、上記データを含む可能性あり)
  10. 教職員個人のユーザホーム:教職員個人が保有するユーザホーム上に置かれたデータ(19件、上記データを含む可能性あり)
  11. 職員と委託業者などの情報:教職員番号、氏名、アカウント名、メールアドレス(213件)

 なお、これら以外のデータも漏えいしている恐れを否定できないとしている。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]