11/10付けで、慶応大学のWEBサイトにリリース情報があります。
被害の大きさ
ニュースでは約3万件の個人情報が流出した可能性があるとのことです。
3万件の内訳はリリース情報から以下の通り。
| 分類 | 件数 | 漏えいした可能性のある情報 |
| 学生情報 | 5,088 | 学籍番号、氏名、アカウント名、メールアドレス、所属、入学年月日、在籍学期数 |
| 顔写真 | 18,636 | 顔写真(ただしユーザとは紐づけが難しい) |
| 履修履歴 | 4,493 | 単位情報 |
| 教員情報 | 2,276 | 教員番号、氏名、アカウント名、所属、職位、メールアドレス、プロフィール、び教員プロフィールシステムログインパスワード |
| 教員住所 | 193 | 自宅住所 |
| 教員メールアドレス等 | 2 | 個人のメールアドレス(学生情報等を含む可能性あり) keio.jp の電子メールデータ |
| 教職員のデータ | 19 | ユーザホーム上に置かれたデータ(学生情報等を含む可能性あり) |
| 委託業者情報 | 223 | 教職員番号、氏名、アカウント名、メールアドレス |
| 30,930 |
件数って合計するんですね。
ログインのパスワードって平文で保管してあったのかな~とか。
教員が学生の情報を自宅PCに持ち出すものなんだ。ちょっとこの辺の事情は分かりません。
顔写真のファイル名はハッシュ化されているので、学生情報と紐づけは難しいということですが、写真だけ利用されることもあるのかな?免許証偽造とか。
原因
原因は、「何らかの手段で利用者の SFC-CNS アカウントの ID およびパスワードが窃取され~」がきっかけになっているようです。
その後、SFC-SFS システムの Web サービスの脆弱性をつかれて情報漏えいに至ったと。
使われたアカウントは分かっているだろうから、そこから辿れば「何らかの手段」が分かりそうですが、学内からかも知れないし、攻撃者からかも知れないし何とも言えないですね。
学生がWEBサービスの脆弱性を調べて悪用したという可能性もありますしね。
対応
すべての利用者のパスワードの変更が行われています。
ログの監視は当然として、学外からのログインは公開鍵認証のみ。
原因が学生だとしたらパスワードの変更だけしか対策されていないことになりますが、学外ログインを変えたってことは学生の可能性は低かったのかな。
今回の対象の学部が当社と取引があったりするので、委託先情報に含まれているのかな?
自社への応用
名前だけCSIRTが立ち上がってコントロールが中途半端な状態になったり、判断が遅くなって被害が広がったり、やりかねない。
社員情報のデータベースが無いって言ってるくらいなので、漏れてもたかが知れてるか(笑)
どちらかというと顧客の情報のほうが心配ではある。
つい先日、アクセスログをチェックしていたが社内だと正しいログインか不正なログインか見分けがつかない。社外からアクセスとなっていてもコロナでの在宅勤務もあるので不正とも言えず。
この事例と同じようなことが起こった場合、情シスとしてやるべきことは何だろうか?という点から、日ごろから考えておきたいですね。
