関西学院大、フィッシングにより約1400人分の個人情報流出

この記事は約 4 分で読めます。



画像:関西学院大学HPより

2016年10月7日関西学院大学は、職員がメールにより誘導されたフィッシングサイトで誤ってIDとパスワードを入力したことにより、在学生や卒業生の個人情報1466人分の漏えいが発生したとの発表を行いました。



事件の経緯

同大学によると、今回の事件は職員がフィッシングサイトで誤ってIDとパスワードを入れたことで情報が勝手に外部に送信されてしまったのが原因とのことです。

これについては以下のような経緯で発生したとのことです。

2016年8月23日 理工学部の事務職員に「メールボックスがいっぱいです」「いくつかのメールを削除する必要がある」などと書かれた不正なメールが届く 職員はこれをフィッシングと思わず、メールに書かれたURLにアクセスし、IDとパスワードを入力
2016年9月7日 当該職員のメールアドレスから数日間で12万通のメールが送信されていることが発覚、併せて他の2名からも同じようなメールが送信されていることが判明 (1)同大学では、これを受けて漏えいの調査を実施
・不正メールの発信元は米国、南アフリカなど
・個人情報の入ったファイルがダウンロードされていることを確認
(2)この調査を受けて同大学では情報漏えいとして兵庫県警に被害届を提出
(3)併せて被害者への謝罪を開始
2016年10月7日 本事件の発生と、それにより1466人の個人情報の漏えいが起きたことを発表

本事件の再発防止のための対策などはこれから取り組む部分でもあるとのことですが、事件の経緯は以上のようになっています。

事件の原因(問題点)

本事件が発生した直接の原因は、職員が不正なフィッシングメールを、それとは気づかず正しいものと信じてメールに書かれたURLをクリックしてしまい、不用意にIDとパスワードを入力してしまったところにあります。

改めてまとめると原因は以下の2点です。

  1. フィッシングメールのURLをクリックしてしまったこと
  2. 開いたサイトでIDやパスワードを入力してしまったこと

もちろん、これらは直接的な原因であり、根本的な問題点は他にあると思われますが、それについては後ほど所感で見ていくこととしましょう。

漏洩した情報は何か

同大学によると、事件により漏えいしたのは理工学研究科の院生や同科の卒業生ら下記個人情報計1466人分とのことです。

  • 氏名
  • 生年月日
  • 住所
  • 携帯電話の番号

事件後の対応はどうだったのか

今回の事件が発生後、同大学が行った対応は以下のとおりです。

  1. メールの発信元、漏えいの有無、内容の調査
  2. 被害者への謝罪
  3. 警察への被害届
  4. 漏えい事件発生のメディア発表

漏えい事件が発生してからの対応として、多少時間はかかりすぎている感は否めませんが、内容としてはある程度は問題なく行っていると言えるでしょう。

まとめ(筆者所感)

img_12996_1

今回の関西学院大学の情報漏えい事件は、直接的な原因として「理工学部の担当職員が誤ってフィッシングサイトに行き、IDやパスワードを入れてしまった」ということが挙げられています。

もちろん、これによって実際に被害が発生しているし、他の2名の職員による漏えいも同じ要因です。

根本的な原因を改善すべき

しかし、根本的な原因は「職員の情報リテラシーの不足」にあるのではないでしょうか。

  • 怪しいと思ったらクリックしない
  • メールの内容を怪しいと判断できる能力・感覚

これらは、組織としての情報リテラシーの欠如から発生している可能性が高いと言わざるを得ません。

同大学が事件後に行っている対策を見ても、このことは一切記載がありません。
これこそがリテラシーの欠如を示すものではないでしょうか。本来、これがしっかりなされていれば事件は未然に防げていたと思います。

再発防止に向けた“意味のある対策”を

  1. 組織の人員に対する情報セキュリティ教育:人的セキュリティレベルの向上
  2. セキュリティソフトウェア等のレベルの向上:システム的なセキュリティレベルの向上

同大学が、今後行うべきことは「人に対する情報リテラシーの啓発」「システム的なセキュリティレベルの向上」の両面ではないでしょうか。これが再発防止への近道だと思います。

<参考>

IT企業10年間、Linux・Windows系のサーバ・インフラ系構築・運用エンジニアとして経験を積み、現在は、とある企業で社内SEとして活動。 多種多様な業務に携わってきたため知識は幅広く、得意分野はLinuxをはじめとしたサーバー構築。社内セキュリティ担当者としての経験も長く、セキュリティソフトウェアや、ゲートウェイ対策にも精通している専門家として活躍中。 >プロフィール詳細

こちらのページもご覧ください。

0からサイバーセキュリティの現状がわかる
情報漏洩セキュリティ対策
ハンドブックプレゼント

img_pdf1.はじめに
2.近年の個人情報漏洩の状況
3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策
4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策
無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?

メルマガ登録はコチラ