情報漏えい事例｜大学のe-ラーニングシステムが不正アクセスされた原因

情報漏えいの概要
情報漏えいの詳細
情報漏えいの原因
今後の対応
まとめ「WEBサイトのセキュリティ（脆弱性）診断は必須」

情報漏えいの概要

長崎県立大学より引用：本学が利用するサーバーへの不正アクセスによる学生・教員等の氏名等個人情報漏洩のおそれについて

2023年8月22日、長崎県立大学(以下、同大学)は、同大学が運用しているe-ラーニングシステム（manabie）が無許可でアクセスされ、約6500人の関係者の個人情報が漏洩した可能性があることを公表しました。

情報漏えいの詳細

同大学の発表によると、2016年から2023年にかけてシステムを利用した学生、教師、卒業生などの合計で約6500人分の氏名、連絡先、成績などが漏えいした可能性があるという。しかし、現時点では、情報が不適切に活用されている事例は確認されていないとのことです。

情報漏えいの原因

2023年8月4日に大学のウェブサイト経由で、「ｅ-ラーニングシステムが不正アクセスを受けている」という外部からの情報が提供され、同大学は直ちにネットワーク切断等を実施。大学による調査の結果、必修科目「しまなび」で使われているe-ラーニングシステムのクラウドサーバーが不正にアクセスされていることが確認されたとのことです。

今後の対応

同大学は、第三者調査機関に対する調査要求などの対策を検討中である。調査結果は随時公にするとしています。

まとめ「WEBサイトのセキュリティ（脆弱性）診断は必須」

本件はWEBサイト経由により内部システムに不正アクセスされてしまい個人情報が漏えいしてしまいました。以前、secuasをご検討されていた企業様で「内部システムはしっかりとやっているから大丈夫」と仰っていましたが本件は内部システムのセキュリティ対策をしていても、WEBサイトのセキュリティ診断が必要ということを認識させてくれる重要な事例です。

WEBサイトの更新が少ないことや静的ページが多いという理由でセキュリティ（脆弱性）診断を後回しにしている企業・団体様は本件をメッセージとして受け止めサイトのリスク診断を実施してみてください。