著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは……。
今回は、大学・短期大学で発生した3件のセキュリティー事故を取り上げる。大阪教育大学のフィッシング被害、岐阜大学の墨塗り処理のミスによる個人情報流出、東洋食品工業短期大学のランサムウエア被害である。
宅配業者を装うSMSのリンクから被害に
大阪教育大学は2021年5月24日、同大学教員のフィッシング被害による個人情報や複数の教員のIDとパスワードの漏洩を発表した。
教員には5月3日、宅配業者を名乗るSMSとしてフィッシングメールが届いた。教員は5月4日、荷物が届く予定があったことからSMS内のリンクにアクセスし、教員が個人で契約するクラウドサービスに関わるIDとパスワード、そして2段階認証のコードを入力した。その翌日、クラウドサービスのアカウントが停止されていたことでクラウドサービスが乗っ取られたことを把握し、副校長に被害を報告したという。
同大学では個人情報を含む業務情報の保存や送信を禁止していたが、教員は業務中に撮影した数千枚の写真をクラウドサービスに保存していた。その中に学級名簿や個人の名前が含まれる学級写真、教員が学内のシステムを使うときに必要なIDやパスワードなどが含まれていた。
また、教員が前職で教諭だったときに撮影したとみられる個人情報を含む写真もクラウドサービスで多数見つかった。このため大学は大阪市教育委員会と対応を検討するとしている。
大学は、教員が安易にスマートフォンで個人情報を撮影することや私的なクラウドサービスを利用することが個人情報を持ち出すと認識していなかったことが原因とした。
https://osaka-kyoiku.ac.jp/university/kikaku/news/2021/20210524.html
複数の資料から墨塗りミスが見つかる
岐阜大学は2021年5月19日、学外のサイトで公開していた資料から個人情報が閲覧可能だったと発表した。墨塗り処理などで個人情報を確認できないようにしていた公開資料の中に、加工すれば閲覧できるようになる資料が見つかったという。
同大学の学生が3月26日、個人情報を閲覧できる資料があったと大学側に通知した。2020年3月から公開されていた資料で、学生197人の名前や学籍番号、学生寮部屋番号、生年月日が含まれていた。
同大学は通知を受けた日に当該資料を差し替えた。さらに他の資料も対象に調査したところ、同様の事象を確認できたため、すべての資料の公開を2021年3月29日に停止したという。
その後、検索サイトのキャッシュデータの削除に取り組み、5月19日までに完了。資料の公開を再開したとしている。
https://www.gifu-u.ac.jp/news/news/2021/05/entry19-10815.html
