慶応義塾大学湘南藤沢キャンパス(SFC)などのシステムが不正アクセスを受けた。学生や教職員など約3万件の個人情報が漏洩した恐れがある。さらに授業支援システムを停止せざるを得ず、秋学期の授業開始が1週間遅れた。システムに残っていた脆弱な古いコードが狙われたもようだ。CSIRT(情報セキュリティーインシデント対策チーム)の設置など体制強化を急ぐ。
慶応義塾大学は2020年11月10日、同大学内の広範囲のサーバーに対して学外からの不正アクセスがあったと発表した。主に同年8~9月に湘南藤沢キャンパス(SFC)のシステムなどに行われた不正アクセスによって、学生の学籍番号や氏名、メールアドレス、学部や学年などの所属情報、学生証の顔写真データ、履修履歴、教員情報など約3万件の個人情報が漏洩した可能性があるという。同大学は発表資料で「関係者の皆さまにご迷惑とご心配をおかけすることになりましたことを深くお詫び申し上げます」と謝罪した。
慶応大学は不正アクセスを受けて、SFCの「授業支援システム(SFC-SFS)」を停止した。オンラインでリポートや課題を登録・提出したり、教員に対する授業のフィードバックなどをしたりするシステムである。
SFC-SFSを停止したため、SFCにある総合政策学部や環境情報学部、政策・メディア研究科は、秋学期の授業開始を当初予定していた10月1日から10月8日に遅らせた。SFC-SFSを止めたことで10月1日を締め切りとしていた秋学期の履修科目の登録ができなくなったからだ。同大学は新型コロナウイルス対策として、オンラインと対面のハイブリッドで授業を行っている。SFC-SFSが稼働していないとキャンパスにいない学生に正確な情報伝達ができないため、やむを得ず授業開始を遅らせた。システム停止が原因で授業開始を遅らせたのは、同大学で初めてのことだった。
パスワード強制変更も攻撃防げず
慶応大学が、学内の認証などを担うSFCの情報ネットワークシステム「SFC-CNS」への不審なアクセスを検知したのは2020年9月15日のことだ。攻撃者は不正入手したユーザーのIDとパスワードを使ってシステムに侵入しようとしていた。不正利用されているアカウントについてはすぐに管理者が強制的にパスワードを変更した。9月16日にはすべての利用者に対してパスワードの変更を依頼した。
同大学は警戒レベルを上げ全システムへの調査を開始した。9月28日には授業支援システムであるSFC-SFSへの不審なアクセスを検知。さらに調査を続けると、不正アクセスによってSFC-SFSから情報が漏洩した可能性が判明した。SFC-SFSにはバックドアが仕込まれていることも分かった。
同大学は9月29日にSFC-SFSのシステムを停止した。「情報漏洩の強い疑いがあったため、システムを止めることにした」と国領二郎・慶応義塾常任理事・最高情報責任者(CIO)兼最高情報セキュリティー責任者(CISO)は振り返る。SFC-SFSを稼働し続けた場合に、他の学部や大学の外部に被害が拡大する恐れもあった。
SFC-SFSへの不正アクセスが判明したことから、慶応大学は10月7日と14日に再度、SFC-CNSの認証システムを使うすべての利用者にパスワードの変更を依頼した。またSFC-CNSの認証システムと慶応義塾全体の認証システムとの連携機能は切り離した。
