ここでは大学など教育機関におけるサイバー攻撃に被害について調査。不正アクセスや人為的ミスによる情報漏洩の事例とその発生理由、セキュリティ上の問題などを解説します。
琉球大学は2023年01月20日、学内で使用のクラウドサービス(Teams)内に保存されていたファイルが設定ミスにより、担当者のみ限定ではなく学生や職員にも閲覧可能だったことを明らかにしました。
該当ファイルの中身は会議資料や大学院入試関係資料で、その一部には氏名やメールアドレス、成績などの個人情報が含まれます。これらの情報の不正使用や学外への漏えいは確認されておらず入試の合否判定は変更なしとしました。
この事例は外部からの不正アクセスやウイルス感染による情報漏えいリスクではなく、明らかに人為的ミスに因るものです。幸いにも大きな被害になることはありませんでしたが、こうしたミスが大惨事につながる可能性もあります。こうしたシステム設定ミスはマニュアル等の規定がなく個人の判断に委ねられていると発生します。
2022年12月21日、奈良県立医科大学は利用中のクラウドサービス(Microsoft365)において個人情報が含まれるメールが閲覧できる状態にあり、職員のアカウントのパスワードの不正窃取と迷惑メールが送信されたことを発表。学外への迷惑メールは1,120件、流出の可能性がある情報は治験者や共同研究者の個人情報約800件としています。
奈良県立医科大学が調査したところ共有しているパソコンから不正プログラムが発見されました。パスワードの不正窃取の原因かどうかは不明としています。今後は情報セキュリティの確保や教育研修で再発防止するとしていますが、今回の被害が発生する前に行っておけば、不正アクセスが起きた場合も原因究明がしやすくなります。
2022年12月27日、早稲田大学は異文化交流センターのイベント参加申込フォームに設定ミスがあり、1,370名の個人情報が第三者閲覧可能な状態にあったことを発表しました。アンケートフォーム(GoogleForms)の設定で「結果の概要を表示する」にチェックが入っていたことで発生。過去の誤った設定のフォームを流用したことで合計34フォームに同じことが発生する事態となりました。
外部のメールフォームなどのサービスはプログラムを作成しなくても手軽にアンケート集計などができて便利ですが、チェック機能が働かないため事例のような人為的ミスが起きやすくなります。特にこの事例では、誤った設定のフォームを流用していたことで複数箇所で閲覧可能な状況をつくってしまった問題も大きいと言えます。
脆弱性診断(セキュリティ診断)とは?
目的や必要性について詳しく見る
ネットワークや情報システム等の不正利用を防止し、被害が発生した場合の保全を行う技術的な対策が必要です。具体的にはアクセスログやシステム管理の記録、アクセス制御やファイアウォール構築による不正アクセスのブロックなど。またクラウドサービスなどを利用する場合は、事業者のセキュリティ体制や責任範囲の確認が必要です。
教育機関では学生や生徒の個人情報を取り扱うため、職員のサイバーセキュリティに対する知識や理解が重要になります。外部から専門家を招いて研修を行ったり講習会に参加するなどして共通認識を持った上で、USBメモリやモバイル機器などの持ち出しや利用規定などを設け、人為的ミスによる情報漏えいリスクを抑える対策を行います。
大学や公共の教育施設では学生や家族など人が出入りする機会が多いのが特徴です。特に大学のキャンパスはオープンなので、サイバー攻撃以外のセキュリティリスクも高いと言えます。警備員の配置や監視カメラ設置、入退室管理など物理的な管理体制を強化することで、機密文書やパソコンなどの情報機器等の安全性を確保することも大切です。
業界によりセキュリティリスクは異なります。これまで学校ではUSBメモリ紛失など人為的ミスが目立ちましたが、教育のデジタル化により外部からの不正アクセスも含めたセキュリティ対策のOODAループを回していくことが重要です。
当ページの監修協力であるホワイトハッカーが所属する株式会社アルファネット。事務機器用品を中心とするカタログ通販サービス「たのめーる」が有名な大塚商会のグループ企業です。
大塚商会はコンピュータ・ネットワーク関連のシステムインテグレーション事業や、コンピュータ機器の保守、アウトソーシングのサービスも中核にしており、その中でアルファネットはサイバーセキュリティ対策の専門グループ企業として活躍しています。
巨大なデータベース・ネットワークを日々守り続けているのは、ホワイトハッカーの主導による正確な診断と、ツールによる包括的な診断によるもの。大塚商会のグループ企業や顧客を中心に、そのサービスを提供してきました。
またメール訓練など、社員育成の提供にも力を入れています。
ペネトレーションテスト(Webアプリケーション侵入試験)/標的型メール訓練サービス/情報セキュリティ教育/CSIRT構築/クラウド型WAFサービス/セキュリティ診断サービス/ランサムウェア対策調査サービス