サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

関西学院大、フィッシングにより約1400人分の個人情報流出



画像:関西学院大学HPより

2016年10月7日関西学院大学は、職員がメールにより誘導されたフィッシングサイトで誤ってIDとパスワードを入力したことにより、在学生や卒業生の個人情報1466人分の漏えいが発生したとの発表を行いました。

事件の経緯

同大学によると、今回の事件は職員がフィッシングサイトで誤ってIDとパスワードを入れたことで情報が勝手に外部に送信されてしまったのが原因とのことです。

これについては以下のような経緯で発生したとのことです。

2016年8月23日 理工学部の事務職員に「メールボックスがいっぱいです」「いくつかのメールを削除する必要がある」などと書かれた不正なメールが届く 職員はこれをフィッシングと思わず、メールに書かれたURLにアクセスし、IDとパスワードを入力
2016年9月7日 当該職員のメールアドレスから数日間で12万通のメールが送信されていることが発覚、併せて他の2名からも同じようなメールが送信されていることが判明 (1)同大学では、これを受けて漏えいの調査を実施
・不正メールの発信元は米国、南アフリカなど
・個人情報の入ったファイルがダウンロードされていることを確認
(2)この調査を受けて同大学では情報漏えいとして兵庫県警に被害届を提出
(3)併せて被害者への謝罪を開始
2016年10月7日 本事件の発生と、それにより1466人の個人情報の漏えいが起きたことを発表

本事件の再発防止のための対策などはこれから取り組む部分でもあるとのことですが、事件の経緯は以上のようになっています。

事件の原因(問題点)

本事件が発生した直接の原因は、職員が不正なフィッシングメールを、それとは気づかず正しいものと信じてメールに書かれたURLをクリックしてしまい、不用意にIDとパスワードを入力してしまったところにあります。

改めてまとめると原因は以下の2点です。

  1. フィッシングメールのURLをクリックしてしまったこと
  2. 開いたサイトでIDやパスワードを入力してしまったこと

もちろん、これらは直接的な原因であり、根本的な問題点は他にあると思われますが、それについては後ほど所感で見ていくこととしましょう。

漏洩した情報は何か

同大学によると、事件により漏えいしたのは理工学研究科の院生や同科の卒業生ら下記個人情報計1466人分とのことです。

  • 氏名
  • 生年月日
  • 住所
  • 携帯電話の番号

事件後の対応はどうだったのか

今回の事件が発生後、同大学が行った対応は以下のとおりです。

  1. メールの発信元、漏えいの有無、内容の調査
  2. 被害者への謝罪
  3. 警察への被害届
  4. 漏えい事件発生のメディア発表

漏えい事件が発生してからの対応として、多少時間はかかりすぎている感は否めませんが、内容としてはある程度は問題なく行っていると言えるでしょう。

まとめ(筆者所感)

img_12996_1

今回の関西学院大学の情報漏えい事件は、直接的な原因として「理工学部の担当職員が誤ってフィッシングサイトに行き、IDやパスワードを入れてしまった」ということが挙げられています。

もちろん、これによって実際に被害が発生しているし、他の2名の職員による漏えいも同じ要因です。

根本的な原因を改善すべき

しかし、根本的な原因は「職員の情報リテラシーの不足」にあるのではないでしょうか。

  • 怪しいと思ったらクリックしない
  • メールの内容を怪しいと判断できる能力・感覚

これらは、組織としての情報リテラシーの欠如から発生している可能性が高いと言わざるを得ません。

同大学が事件後に行っている対策を見ても、このことは一切記載がありません。
これこそがリテラシーの欠如を示すものではないでしょうか。本来、これがしっかりなされていれば事件は未然に防げていたと思います。

再発防止に向けた“意味のある対策”を

  1. 組織の人員に対する情報セキュリティ教育:人的セキュリティレベルの向上
  2. セキュリティソフトウェア等のレベルの向上:システム的なセキュリティレベルの向上

同大学が、今後行うべきことは「人に対する情報リテラシーの啓発」「システム的なセキュリティレベルの向上」の両面ではないでしょうか。これが再発防止への近道だと思います。

<参考>





  • LINEで送る

書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。