情報漏えいの概要
2023年9月1日、山形大学(以下、同大学)は、自身が管理する研究室ホームページを配信しているWEBサーバーが不審な第三者に侵害され、不正なプログラムが設置された結果、個人情報が流出した可能性があると発表しました。
山形大学より引用:本学への不正アクセスによる個人情報の流出の可能性に関するお知らせとお詫び
情報漏えいの詳細
同大学の発表によると、2023年7月1日に外部の事業者から「WEBサイトが不正に改ざんされている」旨の連絡を受け問題が発覚しました。それによると、大学の研究室ホームページが改ざんされており、第三者がコンテンツ管理システム(CMS)を不適切に使用し、内容の改ざんや不正なプログラムの設置をしていました。同大学のサーバは150のサイトに対応しており、改ざんが確認されたサイトを一度閉鎖したものの、再度、不正アクセスの痕跡が見つかり、その後、全ての対象サイトが閉鎖されました。
サーバー内でアクセスできる380人分の氏名やメールアドレスなどの個人情報が含まれていた2つのサイトが含まれており、その情報が流出した可能性が存在しています。
情報漏えいの原因
本件では具体的な原因は公表されていませんが、CMSに不正アクセスをされていたことからWEBサイト上に残る脆弱性を突かれた可能性が高いと考えられます。
今後の対応
山形大学は対応として、個人情報を取り扱うウェブサイトをセキュリティが強化された別サーバーに移行し、運営を再開する予定です。また、個人情報が外部に流出した可能性のある対象者に対して、経緯を説明し謝罪の意を表明しています。
まとめ「複数のサイトを運営する大学はセキュリティ診断を必ず実行しましょう」
立て続けに、大学への不正アクセスによるサイバーインシデントが発生しています。本件もWEBサイトに不正アクセスを実行されたことで発生しています。記事にもあったように同大学は150ものサイトを運営しておりました。各学毎にWEBサイトを作ることが常態化していたと予想されますが、セキュリティ対策は出来ていなかったものと考えられます。
secuasは複数のサイトを運営するにあたっても低コストで簡単に管理が出来る脆弱性診断ツールです。
大学関係者の皆様、まずは無料診断で自社のサイトを診断してみてください。
【この記事と関連する記事はコチラ】