大阪大学は2017年12月13日、学内の情報システムが不正アクセスを受け最大8万1107件の個人情報が漏洩した可能性があると発表した。教員のIDとパスワードが不正利用され、システム内部に仕掛けられた不正プログラムで管理者のIDが盗まれたとする。

個人情報漏洩について告知する大阪大学のWebサイト
個人情報漏洩について告知する大阪大学のWebサイト
[画像のクリックで拡大表示]

 漏洩した可能性のある個人情報は、「教育用計算機システム」にID登録されている在籍中の教職員1万2451件、在籍中の学生2万4196件、元教職員9435件、元学生2万3467件の個人情報。教職員の個人情報はID、氏名、所属、メールアドレスで、学生はこれに加え入学年度と学籍番号が含まれる。また、Office 365ベースで教職員用が使用する「学内グループウェア」において、メールの本文と添付ファイルに記載されていた学外関係者の氏名、所属、電話番号、メールアドレス7972件と、学内関係者の氏名、所属、電話番号、メールアドレス、人事情報、給与情報など3586件も漏洩した可能性がある。

 不正アクセスがあったのは2017年5月18日~7月4日。システム管理者権限を持たない教員1人のIDとパスワードが不正利用され、何者かが「教育用計算機システム」に不正ログイン。さらに同システム内に「送受信されるデータをキャプチャーしてパスワードを解析するタイプの不正プログラムが仕掛けられた」(大阪大学)といい、管理者権限を持つユーザーのIDとパスワードが盗まれた。何者かがこの管理者IDとパスワードを使って同システムにログインし、利用者情報を不正に持ち出したとみられる。

 さらに、ここで持ち出された利用者情報のうち教職員59人分のIDとパスワードが「学内グループウェア」で使われて不正ログインされ、メールに含まれる個人情報を閲覧された可能性がある。学内のシステムはシングル・サインオン・システムにより共通のIDとパスワードでログインできるようになっていた。

 個人情報のメールによるやり取りは「送受信は学内に限ること、個人情報は本文に記載せず暗号化した添付ファイルにパスワードを掛けて送受信することを定めていたが、パスワードも別メールで送っていたケースがあり、不正アクセスした者が閲覧できていた可能性がある」(大阪大学)という。

 大阪大学が不正アクセスの兆候を最初に把握したのは6月21日。「学内グループウェア」の管理ツールにシステム管理者がログインした際、通常は表示されない警告メッセージが出たことから不審に思い、学外のセキュリティ会社に調査を依頼。管理者IDの解析プログラムなどが発見され、7月25日に不正アクセスがあったと判断した。

 最初に不正ログインされた際の手口は分かっていない。「当該教員のPCに不正プログラムが仕掛けられた可能性を疑い、ハードディスクをセキュリティ会社に調べてもらったが見つからなかった。本人へのヒアリングでも『IDとパスワードの使い回しはしていない』とのことだった」(大阪大学)としている。

 大阪大学は12月13日、西尾章治郎総長名で「関係者の皆様に多大なご迷惑をお掛けしたことを深くお詫び申し上げる」とするコメントを発表。再発防止策として、(1)パスワードルールを「英大文字、英小文字、数字を含む8~16文字」から「英大文字、英小文字、数字、記号を含む12~16文字」に強化する(2)全利用者のパスワードを強制変更する(3)ログイン時にパスワードを10回間違えると一定時間ログインできなくした上で管理者にメールで通知する(4)「学内グループウェア」のうち「文書管理」機能について学外からのアクセスを禁止する――との措置を8月1日~28日に実施した。