画像:関西学院大学HPより
2016年10月7日関西学院大学は、職員がメールにより誘導されたフィッシングサイトで誤ってIDとパスワードを入力したことにより、在学生や卒業生の個人情報1466人分の漏えいが発生したとの発表を行いました。
事件の経緯
同大学によると、今回の事件は職員がフィッシングサイトで誤ってIDとパスワードを入れたことで情報が勝手に外部に送信されてしまったのが原因とのことです。
これについては以下のような経緯で発生したとのことです。
| 2016年8月23日 | 理工学部の事務職員に「メールボックスがいっぱいです」「いくつかのメールを削除する必要がある」などと書かれた不正なメールが届く | 職員はこれをフィッシングと思わず、メールに書かれたURLにアクセスし、IDとパスワードを入力 |
| 2016年9月7日 | 当該職員のメールアドレスから数日間で12万通のメールが送信されていることが発覚、併せて他の2名からも同じようなメールが送信されていることが判明 | (1)同大学では、これを受けて漏えいの調査を実施 ・不正メールの発信元は米国、南アフリカなど ・個人情報の入ったファイルがダウンロードされていることを確認 (2)この調査を受けて同大学では情報漏えいとして兵庫県警に被害届を提出 (3)併せて被害者への謝罪を開始 |
| 2016年10月7日 | 本事件の発生と、それにより1466人の個人情報の漏えいが起きたことを発表 |
本事件の再発防止のための対策などはこれから取り組む部分でもあるとのことですが、事件の経緯は以上のようになっています。
事件の原因(問題点)
本事件が発生した直接の原因は、職員が不正なフィッシングメールを、それとは気づかず正しいものと信じてメールに書かれたURLをクリックしてしまい、不用意にIDとパスワードを入力してしまったところにあります。
改めてまとめると原因は以下の2点です。
- フィッシングメールのURLをクリックしてしまったこと
- 開いたサイトでIDやパスワードを入力してしまったこと
もちろん、これらは直接的な原因であり、根本的な問題点は他にあると思われますが、それについては後ほど所感で見ていくこととしましょう。
漏洩した情報は何か
同大学によると、事件により漏えいしたのは理工学研究科の院生や同科の卒業生ら下記個人情報計1466人分とのことです。
- 氏名
- 生年月日
- 住所
- 携帯電話の番号
事件後の対応はどうだったのか
今回の事件が発生後、同大学が行った対応は以下のとおりです。
- メールの発信元、漏えいの有無、内容の調査
- 被害者への謝罪
- 警察への被害届
- 漏えい事件発生のメディア発表
漏えい事件が発生してからの対応として、多少時間はかかりすぎている感は否めませんが、内容としてはある程度は問題なく行っていると言えるでしょう。
まとめ(筆者所感)
今回の関西学院大学の情報漏えい事件は、直接的な原因として「理工学部の担当職員が誤ってフィッシングサイトに行き、IDやパスワードを入れてしまった」ということが挙げられています。
もちろん、これによって実際に被害が発生しているし、他の2名の職員による漏えいも同じ要因です。
根本的な原因を改善すべき
しかし、根本的な原因は「職員の情報リテラシーの不足」にあるのではないでしょうか。
- 怪しいと思ったらクリックしない
- メールの内容を怪しいと判断できる能力・感覚
これらは、組織としての情報リテラシーの欠如から発生している可能性が高いと言わざるを得ません。
同大学が事件後に行っている対策を見ても、このことは一切記載がありません。
これこそがリテラシーの欠如を示すものではないでしょうか。本来、これがしっかりなされていれば事件は未然に防げていたと思います。
再発防止に向けた“意味のある対策”を
- 組織の人員に対する情報セキュリティ教育:人的セキュリティレベルの向上
- セキュリティソフトウェア等のレベルの向上:システム的なセキュリティレベルの向上
同大学が、今後行うべきことは「人に対する情報リテラシーの啓発」「システム的なセキュリティレベルの向上」の両面ではないでしょうか。これが再発防止への近道だと思います。
<参考>
