この記事は約 4 分で読めます。

Tweet

画像：関西学院大学HPより

2016年10月７日関西学院大学は、職員がメールにより誘導されたフィッシングサイトで誤ってIDとパスワードを入力したことにより、在学生や卒業生の個人情報1466人分の漏えいが発生したとの発表を行いました。

事件の経緯

同大学によると、今回の事件は職員がフィッシングサイトで誤ってIDとパスワードを入れたことで情報が勝手に外部に送信されてしまったのが原因とのことです。

これについては以下のような経緯で発生したとのことです。

本事件の再発防止のための対策などはこれから取り組む部分でもあるとのことですが、事件の経緯は以上のようになっています。

事件の原因（問題点）

本事件が発生した直接の原因は、職員が不正なフィッシングメールを、それとは気づかず正しいものと信じてメールに書かれたURLをクリックしてしまい、不用意にIDとパスワードを入力してしまったところにあります。

改めてまとめると原因は以下の２点です。

1. フィッシングメールのURLをクリックしてしまったこと
2. 開いたサイトでIDやパスワードを入力してしまったこと

もちろん、これらは直接的な原因であり、根本的な問題点は他にあると思われますが、それについては後ほど所感で見ていくこととしましょう。

漏洩した情報は何か

同大学によると、事件により漏えいしたのは理工学研究科の院生や同科の卒業生ら下記個人情報計1466人分とのことです。

• 氏名
• 生年月日
• 住所
• 携帯電話の番号

事件後の対応はどうだったのか

今回の事件が発生後、同大学が行った対応は以下のとおりです。

1. メールの発信元、漏えいの有無、内容の調査
2. 被害者への謝罪
3. 警察への被害届
4. 漏えい事件発生のメディア発表

漏えい事件が発生してからの対応として、多少時間はかかりすぎている感は否めませんが、内容としてはある程度は問題なく行っていると言えるでしょう。

まとめ（筆者所感）

今回の関西学院大学の情報漏えい事件は、直接的な原因として「理工学部の担当職員が誤ってフィッシングサイトに行き、IDやパスワードを入れてしまった」ということが挙げられています。

もちろん、これによって実際に被害が発生しているし、他の２名の職員による漏えいも同じ要因です。

根本的な原因を改善すべき

しかし、根本的な原因は「職員の情報リテラシーの不足」にあるのではないでしょうか。

• 怪しいと思ったらクリックしない
• メールの内容を怪しいと判断できる能力・感覚

これらは、組織としての情報リテラシーの欠如から発生している可能性が高いと言わざるを得ません。

同大学が事件後に行っている対策を見ても、このことは一切記載がありません。
これこそがリテラシーの欠如を示すものではないでしょうか。本来、これがしっかりなされていれば事件は未然に防げていたと思います。

再発防止に向けた“意味のある対策”を

1. 組織の人員に対する情報セキュリティ教育：人的セキュリティレベルの向上
2. セキュリティソフトウェア等のレベルの向上：システム的なセキュリティレベルの向上

同大学が、今後行うべきことは「人に対する情報リテラシーの啓発」「システム的なセキュリティレベルの向上」の両面ではないでしょうか。これが再発防止への近道だと思います。

＜参考＞

• 関西学院大、1466人分の情報流出　フィッシング被害／朝日新聞デジタル
• フィッシングサイトへのアクセスによる個人情報漏えいについて／関西学院大学

hiro_0202aq

IT企業10年間、Linux・Windows系のサーバ・インフラ系構築・運用エンジニアとして経験を積み、現在は、とある企業で社内SEとして活動。 多種多様な業務に携わってきたため知識は幅広く、得意分野はLinuxをはじめとしたサーバー構築。社内セキュリティ担当者としての経験も長く、セキュリティソフトウェアや、ゲートウェイ対策にも精通している専門家として活躍中。 >プロフィール詳細

転載することは著作権侵害となり法律で固く禁じられています 。資料から引用する場合は著者の許可が必要ですので当企業までご連絡ください。

こちらのページもご覧ください。

• [New!]メルマガ会員募集中！情報漏洩セキュリティ対策ハンドブックプレゼント
• ぴあ不正アクセス、クレカ情報含む15万件超の情報漏洩事件まとめ
• 2016年、栃木スバルで発生した個人情報漏洩事件について
• 富士ゼロックスシステムサービス戸籍データ流出・脅迫事件について
• 2012年に発生したベクターでの大規模情報漏洩事件について