本特集では、日経コンピュータの看板コラム「動かないコンピュータ」の過去記事の中から、セキュリティー関連の事例を14本取り上げていく。トラブルの真相から、今後のリスク回避につなげてほしい。

大阪大学で不正アクセスによる個人情報の漏洩が発生した。攻撃者は学内システムの管理者権限を奪って7万人の個人情報を盗み、さらに盗んだ情報でメールシステムに不正ログインした。幸い研究内容などの機密情報はメールになかったが一歩間違えば国の損失だ。事態の判明から5カ月経って公表した対応スピードに批判の声も上がる。

 大阪大学は2017年12月13日、不正アクセスによって個人情報が漏洩したと公表した。教職員と学生の氏名や所属、メールアドレスが7万件近く漏洩した。加えて、職員採用試験に合格した人の住所や電話番号など、学内外の関係者の自宅に関する情報も漏洩した可能性がある。漏洩した個人情報と漏洩した可能性がある個人情報は合計8万1107件に及んだ。

 西尾章治郎総長は同日、「このような事態が発生し、関係者の皆さまに多大なご迷惑をおかけしたことを深くお詫び申し上げる」と謝罪。「極めて重大な問題であると受け止め、個人情報を含む学内の重要情報を守るため、セキュリティの強化に努める」とした。

 阪大が不正アクセスの兆候に気付いたのは公表の約半年前の6月21日。教職員と学生にメールや文書管理のサービスを提供する「学内グループウェア」が見慣れない警告を表示した。米マイクロソフトの「Office 365」をベースにしたクラウドサービスで、システム管理者が管理ツールにログインすると「複数の地域からのサインイン」「危険なサインイン」などの警告が出たのだ。

 不審に思ったシステム管理者の報告を受け、セキュリティ担当者が同日中に調査に着手。14日後の7月5日に不正アクセスがあったと判断し、5日後の7月10日にセキュリティ会社に調査を依頼した。

図 不正アクセスに対する大阪大学の対応の流れ
不正アクセスの判明から5カ月後に公表
[画像のクリックで拡大表示]

2段階で情報を盗む

 調査の結果、「学内グループウェア」ではなく、教職員や学生が使う学内PCを管理する「教育用計算機システム」の管理サーバーに不正なプログラムが仕掛けられていたのが見つかった。「PCが送受信するデータを取得してパスワードを解析する、いわゆるパスワードダンプ(出力)ツールだった」(阪大総務部総務課文書管理室)。

 攻撃者は何らかの方法で入手した教員1人のIDとパスワードを使って教育用計算機システムに不正ログインし、不正なプログラムを仕掛けたとみられる。不正利用されたログイン情報を特定したがその流出経路は2017年12月26日時点で判明していない。流出したログイン情報の持ち主のPCに不正なプログラムは見つからず、持ち主の教員は「IDとパスワードは使い回していない」と話しているという。

 阪大は教育用計算機システムと学内グループウェアを1つのIDとパスワードでログインできるようにしている。攻撃者が不正なプログラムを使って教育用計算機システムのIDとパスワードを盗み、それを使って学内グループウェアに不正アクセスしていたと判明。個人情報や機密情報を含む職員のメールが見られた可能性があるため、セキュリティ会社は全容の解明と情報漏洩の範囲の特定を進めた。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら