関西学院大、フィッシングにより約1400人分の個人情報流出

- 2017年02月09日[更新]
関西学院大、フィッシングにより約1400人分の個人情報流出



画像:関西学院大学HPより

2016年10月7日関西学院大学は、職員がメールにより誘導されたフィッシングサイトで誤ってIDとパスワードを入力したことにより、在学生や卒業生の個人情報1466人分の漏えいが発生したとの発表を行いました。

事件の経緯

同大学によると、今回の事件は職員がフィッシングサイトで誤ってIDとパスワードを入れたことで情報が勝手に外部に送信されてしまったのが原因とのことです。

これについては以下のような経緯で発生したとのことです。

2016年8月23日 理工学部の事務職員に「メールボックスがいっぱいです」「いくつかのメールを削除する必要がある」などと書かれた不正なメールが届く 職員はこれをフィッシングと思わず、メールに書かれたURLにアクセスし、IDとパスワードを入力
2016年9月7日 当該職員のメールアドレスから数日間で12万通のメールが送信されていることが発覚、併せて他の2名からも同じようなメールが送信されていることが判明 (1)同大学では、これを受けて漏えいの調査を実施
・不正メールの発信元は米国、南アフリカなど
・個人情報の入ったファイルがダウンロードされていることを確認
(2)この調査を受けて同大学では情報漏えいとして兵庫県警に被害届を提出
(3)併せて被害者への謝罪を開始
2016年10月7日 本事件の発生と、それにより1466人の個人情報の漏えいが起きたことを発表

本事件の再発防止のための対策などはこれから取り組む部分でもあるとのことですが、事件の経緯は以上のようになっています。

事件の原因(問題点)

本事件が発生した直接の原因は、職員が不正なフィッシングメールを、それとは気づかず正しいものと信じてメールに書かれたURLをクリックしてしまい、不用意にIDとパスワードを入力してしまったところにあります。

改めてまとめると原因は以下の2点です。

  1. フィッシングメールのURLをクリックしてしまったこと
  2. 開いたサイトでIDやパスワードを入力してしまったこと

もちろん、これらは直接的な原因であり、根本的な問題点は他にあると思われますが、それについては後ほど所感で見ていくこととしましょう。

漏洩した情報は何か

同大学によると、事件により漏えいしたのは理工学研究科の院生や同科の卒業生ら下記個人情報計1466人分とのことです。

  • 氏名
  • 生年月日
  • 住所
  • 携帯電話の番号

事件後の対応はどうだったのか

今回の事件が発生後、同大学が行った対応は以下のとおりです。

  1. メールの発信元、漏えいの有無、内容の調査
  2. 被害者への謝罪
  3. 警察への被害届
  4. 漏えい事件発生のメディア発表

漏えい事件が発生してからの対応として、多少時間はかかりすぎている感は否めませんが、内容としてはある程度は問題なく行っていると言えるでしょう。

まとめ(筆者所感)

img_12996_1

今回の関西学院大学の情報漏えい事件は、直接的な原因として「理工学部の担当職員が誤ってフィッシングサイトに行き、IDやパスワードを入れてしまった」ということが挙げられています。

もちろん、これによって実際に被害が発生しているし、他の2名の職員による漏えいも同じ要因です。

根本的な原因を改善すべき

しかし、根本的な原因は「職員の情報リテラシーの不足」にあるのではないでしょうか。

  • 怪しいと思ったらクリックしない
  • メールの内容を怪しいと判断できる能力・感覚

これらは、組織としての情報リテラシーの欠如から発生している可能性が高いと言わざるを得ません。

同大学が事件後に行っている対策を見ても、このことは一切記載がありません。
これこそがリテラシーの欠如を示すものではないでしょうか。本来、これがしっかりなされていれば事件は未然に防げていたと思います。

再発防止に向けた“意味のある対策”を

  1. 組織の人員に対する情報セキュリティ教育:人的セキュリティレベルの向上
  2. セキュリティソフトウェア等のレベルの向上:システム的なセキュリティレベルの向上

同大学が、今後行うべきことは「人に対する情報リテラシーの啓発」「システム的なセキュリティレベルの向上」の両面ではないでしょうか。これが再発防止への近道だと思います。

<参考>

ゼロから始めるセキュリティ対策!
セキュリティチェック25
img_pdf

「セキュリティ対策」はインターネットを利用する全ての企業にとって必須

大企業であればお金をかけてしっかりとした対策に取り組めますが、
そんな予算もない中小企業の方々は、「セキュリティ対策が必要だとわかっていても何をすれば良いかわからない、、、」という方も多いはず。

そんな中小企業の方々、
特に50名以下の企業の社長、IT担当者、総務部担当者の方々は絶対に知っておきたい!自分でできるセキュリティ対策がチェックできるA4サイズ1枚にまとめた25項目のセキュリティチェックシートです。

メルマガ登録で無料ダウンロード!
無料ダウンロードはコチラ

IT企業10年間、Linux・Windows系のサーバ・インフラ系構築・運用エンジニアとして経験を積み、現在は、とある企業で社内SEとして活動。
多種多様な業務に携わってきたため知識は幅広く、得意分野はLinuxをはじめとしたサーバー構築。社内セキュリティ担当者としての経験も長く、セキュリティソフトウェアや、ゲートウェイ対策にも精通している専門家として活躍中。
>プロフィール詳細

こちらのページもご覧ください。

セキュリティ診断サービス

あなたの会社のWEBサイトは大丈夫?社内ネットワークも心配...
サイバー攻撃されて問題になる前にしっかりチェック!

標的型メール訓練サービス

近年増え続ける標的型攻撃の対策はできてますか?社長だけが大丈夫でも社員全員の意識を上げないと、メールが来たら1/3も...

セキュリティ人材の育成に

今後不足すると言われているセキュリティ人材の確保を早めに対応しませんか?たった2日で学べる集中コース!

情報セキュリティ監査

150,000円のセキュリティ監査!専属担当者の採用は難しいけど、セキュリティが心配...という方必見です。

メルマガ会員登録募集中

中小企業向けセキュリティチェックシートプレゼント!その他特典多数!詳細はこちらをクリック!

日本年金機構の海外企業再委託事件から考える、形だけの再委託禁止条項

「プレスリリース」で不信増幅か|セシールオンラインショップ不正アクセス事件についての考察

ぴあ不正アクセス、クレカ情報含む15万件超の情報漏洩事件まとめ

作者:   セキュリティインシデント事例