企業をサイバーセキュリティのリスクから守る『OODAセキュリティ』 » 業種別サイバーセキュリティの被害事例とリスク対策の方法 » 大学など教育機関

大学など教育機関

ここでは大学など教育機関におけるサイバー攻撃に被害について調査。不正アクセスや人為的ミスによる情報漏洩の事例とその発生理由、セキュリティ上の問題などを解説します。

大学など教育機関における
サイバーセキュリティの被害事例

個人情報ファイルが担当者以外も閲覧可能に

琉球大学は2023年01月20日、学内で使用のクラウドサービス(Teams)内に保存されていたファイルが設定ミスにより、担当者のみ限定ではなく学生や職員にも閲覧可能だったことを明らかにしました。

該当ファイルの中身は会議資料や大学院入試関係資料で、その一部には氏名やメールアドレス、成績などの個人情報が含まれます。これらの情報の不正使用や学外への漏えいは確認されておらず入試の合否判定は変更なしとしました。

考えられる問題・原因

この事例は外部からの不正アクセスやウイルス感染による情報漏えいリスクではなく、明らかに人為的ミスに因るものです。幸いにも大きな被害になることはありませんでしたが、こうしたミスが大惨事につながる可能性もあります。こうしたシステム設定ミスはマニュアル等の規定がなく個人の判断に委ねられていると発生します。

参照元:琉球大学公式HP(https://www.u-ryukyu.ac.jp/

不正アクセスにより個人情報流出の可能性

2022年12月21日、奈良県立医科大学は利用中のクラウドサービス(Microsoft365)において個人情報が含まれるメールが閲覧できる状態にあり、職員のアカウントのパスワードの不正窃取と迷惑メールが送信されたことを発表。学外への迷惑メールは1,120件、流出の可能性がある情報は治験者や共同研究者の個人情報約800件としています。

考えられる問題・原因

奈良県立医科大学が調査したところ共有しているパソコンから不正プログラムが発見されました。パスワードの不正窃取の原因かどうかは不明としています。今後は情報セキュリティの確保や教育研修で再発防止するとしていますが、今回の被害が発生する前に行っておけば、不正アクセスが起きた場合も原因究明がしやすくなります。

【PDF】参照元:奈良県立医科大学公式HP(https://www.naramed-u.ac.jp/university/oshirase/reiwa4nendo/documents/20221221_fusei.pdf

フォーム設定ミスにより情報流出リスク拡大

2022年12月27日、早稲田大学は異文化交流センターのイベント参加申込フォームに設定ミスがあり、1,370名の個人情報が第三者閲覧可能な状態にあったことを発表しました。アンケートフォーム(GoogleForms)の設定で「結果の概要を表示する」にチェックが入っていたことで発生。過去の誤った設定のフォームを流用したことで合計34フォームに同じことが発生する事態となりました。

考えられる問題・原因

外部のメールフォームなどのサービスはプログラムを作成しなくても手軽にアンケート集計などができて便利ですが、チェック機能が働かないため事例のような人為的ミスが起きやすくなります。特にこの事例では、誤った設定のフォームを流用していたことで複数箇所で閲覧可能な状況をつくってしまった問題も大きいと言えます。

サイバーセキュリティの
リスクを減らすためにできる対策

脆弱性診断(セキュリティ診断)とは?
目的や必要性について詳しく見る

技術的なセキュリティ対策

ネットワークや情報システム等の不正利用を防止し、被害が発生した場合の保全を行う技術的な対策が必要です。具体的にはアクセスログやシステム管理の記録、アクセス制御やファイアウォール構築による不正アクセスのブロックなど。またクラウドサービスなどを利用する場合は、事業者のセキュリティ体制や責任範囲の確認が必要です。

職員・スタッフの教育・研修

教育機関では学生や生徒の個人情報を取り扱うため、職員のサイバーセキュリティに対する知識や理解が重要になります。外部から専門家を招いて研修を行ったり講習会に参加するなどして共通認識を持った上で、USBメモリやモバイル機器などの持ち出しや利用規定などを設け、人為的ミスによる情報漏えいリスクを抑える対策を行います。

物理的な管理体制の強化

大学や公共の教育施設では学生や家族など人が出入りする機会が多いのが特徴です。特に大学のキャンパスはオープンなので、サイバー攻撃以外のセキュリティリスクも高いと言えます。警備員の配置や監視カメラ設置、入退室管理など物理的な管理体制を強化することで、機密文書やパソコンなどの情報機器等の安全性を確保することも大切です。

参照元:【PDF】文部科学省「教育情報セキュリティポリシーに関するガイドライン(令和4年3月)」(https://www.mext.go.jp/content/20220304-mxt_shuukyo01-100003157_1.pdf

業界によりセキュリティリスクは異なります。これまで学校ではUSBメモリ紛失など人為的ミスが目立ちましたが、教育のデジタル化により外部からの不正アクセスも含めたセキュリティ対策のOODAループを回していくことが重要です。

取材協力
株式会社アルファネット
多種多様な企業の状況に合わせ
セキュリティ対策を根本から支える

当ページの監修協力であるホワイトハッカーが所属する株式会社アルファネット。事務機器用品を中心とするカタログ通販サービス「たのめーる」が有名な大塚商会のグループ企業です。

大塚商会はコンピュータ・ネットワーク関連のシステムインテグレーション事業や、コンピュータ機器の保守、アウトソーシングのサービスも中核にしており、その中でアルファネットはサイバーセキュリティ対策の専門グループ企業として活躍しています。

巨大なデータベース・ネットワークを日々守り続けているのは、ホワイトハッカーの主導による正確な診断と、ツールによる包括的な診断によるもの。大塚商会のグループ企業や顧客を中心に、そのサービスを提供してきました。
またメール訓練など、社員育成の提供にも力を入れています。

提供するサイバー
セキュリティサービス

ペネトレーションテスト(Webアプリケーション侵入試験)/標的型メール訓練サービス/情報セキュリティ教育/CSIRT構築/クラウド型WAFサービス/セキュリティ診断サービス/ランサムウェア対策調査サービス

アルファネットの公式HPから
サイバーセキュリティリスクの対策について相談する

電話で問い合わせる