全1357文字
著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは……。
今回は、水産大学校の個人情報漏洩と、リコージャパンの委託先で発生したランサムウエア被害の影響、テレビ埼玉のWebサーバーへの不正アクセス被害を取り上げる。
リンクが分かればアクセスできるページから情報漏洩
水産研究の教育訓練機関である水産大学校は2024年11月12日、学生向けの電子掲示システムの内容が外部から閲覧可能だった件に関する調査結果を報告した。
(出所:水産大学校)
[画像のクリックで拡大表示]
同校の職員が2024年9月5日、検索サイトで掲示システム内のページが検索できたことで事態を把握。この掲示システムにアクセスするためにはログイン認証が必要だったが、検索結果のリンクからはログインしなくても各ページにアクセスできたという。
同校はすぐに各ページにアクセス制限をかけて、外部から閲覧できないようにした。調査の結果、2011年4月以降にこの状態になっていたことが判明した。閲覧可能になっていたページには、2011年度以降に在籍した学生や教職員、非常勤講師の氏名や電話番号、メールアドレスなど延べ4492件の個人データが含まれていた。
2011年4月にシステムを全面刷新する際、機器の性能や利便性を考慮して、HTMLなどのファイルのURLを直接指定すればアクセスできる設定に変更したという。数十桁のURLを完全に入力するのは外部の人には困難だと判断していたが、検索エンジンのクローリングによって検索結果にリンクが表示されたため、URLを知らなくてもアクセスできるようになったと説明している。
https://www.fish-u.ac.jp/new/news00082.html
