大阪大学、不正アクセスで8万1,000件超の個人情報流出か?
大阪大学といえば、関西の名門国立大学で、最近ではiPS細胞の臨床研究などをはじめ、高度な医療分野での成果が注目されることが多いのではないでしょうか。
しかし一方で、入試の出題ミスや、パワハラ問題など、組織ガバナンス・コンプライアンスの面では、あまり良くないニュースが続いています。
情報セキュリティの面では、不正アクセスによる個人情報漏洩事件を起こし、大きな問題になりました。
ここでは、2017年に起きたこの個人情報漏洩事件について、詳しく検証していきたいと思います。
漏洩の可能性がある個人情報の種類と件数は?
大阪大学の発表に基づくと、教職員や元教職員、元学生などの個人情報6万9,549件が流出し、また、学内・学外の関係者の個人情報1万1,558件に「流出の可能性」があるということで、トータルすると、被害は最大で8万1,000件を超える可能性があります。
個人情報の内容を詳しく見ると、以下の表のようになります。
流出した個人情報
| 対象者 | 個人情報の内容 | 件数 |
|---|---|---|
| 教職員 | 氏名、システムID、所属、Eメールアドレス | 12,451件 |
| 元教職員 | 氏名、システムID、所属、Eメールアドレス | 9,435件 |
| 学生 | 氏名、システムID、所属、Eメールアドレス、学籍番号、入学年度 | 24,196件 |
| 元学生 | 氏名、システムID、所属、Eメールアドレス、学籍番号、入学年度 | 23,467件 |
※元教職員・元学生のシステムID、Eメールアドレスについては発表時点では使用できない状態であるとしています。
流出した可能性がある個人情報
| 対象者 | 個人情報の内容 | 件数 |
|---|---|---|
| 外部関係者 | 氏名、所属、電話番号、Eメールアドレス等 | 7,972件 |
| 内部関係者 | 氏名、所属、電話番号、Eメールアドレス、人事・給与関連情報等 | 3,586件 |
個人情報流出の経緯と前後の動き
事件の経緯を時系列でまとめます。
| 5月18日~7月4日 | 大阪大学内の情報システムに海外から不正アクセスが行われる。 |
|---|---|
| 6月21日 | 大阪大学が学内システムの管理画面にログインした際の不審な挙動に気づく。 |
| 6月21日~ | 外部のセキュリティ会社に調査依頼を出す。 |
| 調査の結果、管理者アカウントの解析をする不正プログラムなどが見つかる。 | |
| 7月25日 | 大阪大学が不正アクセスがあったと判断する。 |
| 8月1日~28日 | 大阪大学は当該インシデントに対しての再発防止策を実施する。 |
| 12月13日 | 大阪大学は、大学総長署名の謝罪コメントを発表するとともに、不正アクセスでの被害とその対応状況などを公表する。 |
不正アクセスのプロセスについて
大阪大学側は、不正アクセスが行われたプロセスについて、次のように説明しています。
まず犯人は、特定の教職員のユーザーID・パスワードを何らかの方法で取得。そのアカウントを利用して、「教育用計算機システム」にログインします。そして、システム内部にアカウント情報を解析する不正プログラムを設置し、管理者権限があるユーザーアカウントを取得。犯人はこのアカウントで、管理者のみがアクセスできる利用者情報を窃取しました。
また、大阪大学は学内のシステムで共通のアカウントを利用する「シングル・サインオン」と言われるシステムを採用していたため、上記で窃取したアカウントで、別のネットワークである「学内グループウェア」にもログインされてしまい、同グループウェア内の個人情報にもアクセスされることになりました。
大阪大学の再発防止策は?
大阪大学は再発防止策として、以下を策定し、すでに実施したと報告しました。
パスワード設定の厳格化
学内アカウントで使用するパスワードの文字数を、「8文字以上16文字以内」から「12文字以上16文字以内」に、また、使用する文字の種類は「英大文字、英小文字、数字」混合から、さらに「記号」を加え、「英大文字、英小文字、数字、記号」混合にする。
パスワード誤入力時のアクセス制限
パスワードの誤入力を10回繰り返すと、アクセスを制限し、管理者にメールが届くシステムを導入する。
外部からの利用機能の制限
機密性の高い情報を守るため、外部から「学内グループウェア」の文書管理機能を利用できないようにする。
大学側の対応の問題点
再発防止策については、前述の通り、大学側はすでに実施したとしていますが、実効性がある対策というより、あくまで応急的な措置という印象を受けます。
というのは、最初に教職員のアカウントが盗まれた手口が解明されておらず、仮にパスワードを強化しても、同じ方法でアカウントが窃取される可能性が否定できないからです。
そして、一旦アカウントが知られてしまうと、今回のような甚大な個人情報漏洩事故に発展することも証明されました。
大学側には、今後も原因究明の取り組みを継続するとともに、同様のリスクを管理することが求められます。
また、それとは別に、事故後の対応についてはさらに深刻な問題が見られます。
それは、内部で不正アクセスを検知するのは比較的早かったものの、そこから再発防止策の実施まで約2カ月、再発防止策の完了から対外発表までは3カ月以上を費やしているということです。
大規模な事業体のため、調査に時間がかかった、または、内部のマネジメントに手間取ったなど、諸事情も考えられますが、それらを加味しても対応が遅すぎます。
場合によっては、内部で恣意的な「情報調整」などが行われていたと疑われる可能性すらあると思います。
同校は、この状況を踏まえ、正確な情報公開と対応報告をする必要があると思います。
