2017-12-13
大阪大学への不正アクセスについてまとめてみた
インシデントまとめ | | 
2017年12月13日、大阪大学は学内の情報システムが不正アクセスを受け個人情報が漏えいした可能性があると発表しました。ここでは関連情報をまとめます。
公式発表
大阪大学による公式発表は次の通り。
- 2017年12月13日 不正アクセスによる個人情報漏えいについて (魚拓)
インシデントタイムライン
| 日時 | 出来事 |
|---|---|
| 2017年5月18日~7月4日 | 大阪大学の学内情報システムで不正アクセスが発生。 |
| 2017年6月21日 | 大阪大学が不正アクセスの兆候を把握。*1 |
| : | 学外のセキュリティ会社に調査を依頼。 |
| : | 第三者が設置したとみられる解析プログラムを発見。 |
| 2017年7月25日 | 大阪大学が学内のシステムに対して不正アクセスがあったと判断。 |
| 2017年8月1日~28日 | 大阪大学が不正アクセスに対する再発防止策を実施。 |
| 2017年12月13日 | 大阪大学が記者会見。不正アクセスおよび情報漏えいの可能性があると発表。 |
被害状況
- 第三者により学内システムが不正アクセスを受け、システム内の情報が窃取された、またはその可能性がある。
- 大阪大学は12月13日発表時点で二次被害確認されていないと報告している。
- 漏えい対象の情報には医学部付属病院の患者情報は含まれていない。*2
窃取された情報
不正アクセスによる情報漏えい被害は大きく次の2つに分けることができる。
大阪大学へ行われた不正アクセスの流れ
| 不正アクセスの対象システム | 不正アクセスの流れ |
|---|---|
| 教育用計算機システム | (1) 何らかの方法により第三者が職員AのID、PWを取得。 |
| 〃 | (2) 第三者が職員AのID,PWを用いて不正ログイン。 |
| 〃 | (3) 第三者が不正プログラムを設置。 |
| 〃 | (4) 第三者が管理者ID,PWを窃取。 |
| 〃 | (5) 第三者がシステム内に保存された利用者情報を取得。 |
| 学内グループウェア | (6) 第三者が教育用計算機システムより取得した利用者情報の内、59名分の情報を用いて不正ログイン。 |
| 〃 | (7) 第三者がメール、及び個人情報を含む添付ファイルを閲覧した可能性。 |
教育用計算機システムの被害
第三者により盗み出された情報は次の通り。
利用者情報に含まれる個人情報は次の通り。
| 対象 | 件数 | 項目 |
|---|---|---|
| 大阪大学教職員 | 12,451件 | ID、氏名、所属、大阪大学のメールアドレス |
| 大阪大学学生 | 24,196件 | ID、氏名、所属、大阪大学のメールアドレス、入学年度、学籍番号 |
| 大阪大学元教職員 | 9,435件 | ID*、氏名、所属、大阪大学のメールアドレス* |
| 大阪大学元学生 | 23,467件 | ID*、氏名、所属、大阪大学のメールアドレス*、入学年度、学籍番号 |
学内グループウェアの被害
| 学内外 | 対象 | 件数 | 項目 |
|---|---|---|---|
| 学外関係者 | メール本文、または添付ファイル記載の個人情報 | 6,042件 | 氏名、所属、職位、住所、電話番号、メールアドレス |
| 〃 | 問い合わせに対する返信メール | 376件 | 氏名、所属、電話番号、メールアドレス |
| 〃 | 近畿地区国立大学法人等職員採用試験合格者名簿 | 54件 | 氏名、生年月日、住所、電話番号、メールアドレス、学歴 |
| 〃 | 採用希望者の情報 | 30件 | 氏名、生年月日、住所、メールアドレス、学歴、職歴 |
| 〃 | 他大学関係者 | 420件 | 氏名、所属、電話番号、メールアドレス |
| 〃 | イベント作業者リスト | 12件 | 氏名、所属、住所、電話番号、メールアドレス |
| 〃 | イベント参加者名簿(1) | 30件 | 氏名、所属 |
| 〃 | イベント参加者名簿(2) | 86件 | 氏名、電話番号、メールアドレス |
| 〃 | イベント参加者名簿(3) | 30件 | 氏名、所属、電話番号、メールアドレス |
| 〃 | イベント参加者名簿(4) | 25件 | 氏名、所属 |
| 〃 | 寄附者名簿 | 367件 | 氏名、住所、電話番号、メールアドレス |
| 〃 | 刊行物送付先リスト | 500件 | 氏名、所属、住所、メールアドレス |
| 学内関係者 | メール本文、または添付ファイル記載の個人情報 | 1,008件 | 氏名、所属、職名、電話番号、メールアドレス |
| 〃 | 業務上作成している各種帳票内に存在する職員情報(人事情報) | 211件 | 氏名、生年月日、所属、職名、個人番号(大学が個人ごとに付与している整理番号) |
| 〃 | 業務上作成している各種帳票内に存在する職員情報(社会保険情報(非常勤職員分)) | 591件 | 氏名、生年月日、個人番号(大学が個人ごとに付与している整理番号)、標準報酬月額、社会保険料 |
| 〃 | 緊急連絡網 | 252件 | 氏名、所属、職名、電話番号(自宅、携帯) |
| 〃 | システムID発行申請書 | 469件 | 氏名、生年月日 |
| 〃 | 財務会計システム担当者登録申請書 | 1,055件 | 氏名、大阪大学個人 ID、メールアドレス |
学内グループウェアによる情報漏えいが可能性となった理由
個人情報の取り交わしは次のルールとなっていたが、別メールでパスワードを送付したケースが確認されたため閲覧できた可能性がある。
数字の整理
情報漏えい(の可能性)に関連する数字を整理しておく。
| 数字 | 概要 |
|---|---|
| 69,549件 | 教育用計算機システムより窃取されたとみられる個人情報の件数 |
| 11,558件 | 学内グループウェアの不正ログインを通じて閲覧された可能性ぎあるメール、及び添付ファイルに記載されていた個人情報の件数 |
| 81,107件 | 上2項目の合計件数 |
| 59名 | 学内グループウェアで不正ログインを受けた教職員のアカウント数 |
発端
原因
- 職員AのID、PWが盗み出された手口は判明していない。
- 職員Aが利用するPCのハードディスクをセキュリティ会社が調査したが、不正プログラムは確認されなかった。
- 職員AへのヒアリングではID、PWの使いまわしはしていないとの回答が行われた。
- 学内システムはシングルサインオンシステムとなっており、共通のID、PWでログインができるようになっていた。
教育用計算機システムに設置されていた不正プログラム
次の機能を有すると報じられている。
- 送受信されるデータをキャプチャーする。
- キャプチャーしたデータからパスワードを解析する。
大阪大学による対策
情報漏えい、及びその可能性がある対象者への措置
- 情報漏えい、及びその可能性がある対象者へ個別に謝罪。
- 対象者向けのお相談窓口の開設。
再発防止策
大阪大学は再発防止策として次の対応を取ったことを報告。
変更されたパスワードルール等の詳細
| 対象 | 変更前 | 変更後 |
|---|---|---|
| パスワードの文字種 | 英大文字、英小文字、数字を含むこと | 英大文字、英小文字、数字、記号を含むこと |
| パスワードの文字数 | 8~16文字 | 12~16文字 |
| 不正ログイン対策 | 不明 | パスワードを10回誤ると一定時間ログイン不可 管理者へメール通知 |
| 学外アクセス制限 | 不明 | 学内グループウェアの文書管理機能の学外アクセス禁止。 |
更新履歴
- 2017年12月14日 AM 新規作成
*1:大阪大学で個人情報8万件超漏洩か、管理者IDで不正ログインの可能性,ITpro,20917年12月14日アクセス
*2:大阪大学で不正アクセス 約7万人分の個人情報流出,NHK,2017年12月14日アクセス
*3:阪大で情報漏えい、約8万1000件か,読売新聞l,2017年12月14日アクセス
