全1406文字
著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは……。
今回は、東北芸術工科大学と京都先端科学大学の個人情報漏洩、岩手朝日テレビと日本海建設電気のランサムウエア被害を取り上げる。
アクセス範囲を「パブリック」とする設定ミス
東北芸術工科大学は2025年1月20日、一部の職員でのみ共有されるべき個人情報が、学内の学生や職員にも閲覧可能だったとして、関係者に謝罪した。
(出所:東北芸術工科大学)
同大によると、Teamsで共同作業を行う「チーム」で共有していたデータが、検索機能によってチーム外の人にも閲覧できることが2024年12月19日に判明。調査の結果、データにはのべ900件、810人の個人情報が含まれていた。
原因はTeamsの公開設定において、本来「プライベート」(秘密)とすべきところを、誤って学内関係者全員がアクセスできる「パブリック」(公開)としていたため。ファイルの中には、2020年4月9日から閲覧可能だったものが見つかった。
設定ミスが生じた理由について、プライバシー設定の知識が不十分だったと説明。問題を把握した後、「パブリック」となっていた全ての設定を管理者権限で「プラベイート」に変更した。今後は「チーム」を作成する際、「パブリック」を選択できないようにし、情報管理ポリシーの見直しを行うとしている。
同様の設定ミスは、京都先端科学大学が2025年1月24日に公表していいる。
https://www.tuad.ac.jp/news/information/24164/ https://www.kuas.ac.jp/application/files/5017/3768/1947/20250124.pdf
