NASの設定を変更せずに使用
首都大学東京は19日、大学が管理していた学生や教員ら延べ約5万1000人分の個人情報が流出した可能性があることを発表しました。
外部からの指摘により昨年8月22日から今年1月5日まで約4か月にわたりインターネットなどから自由に閲覧できる状態だったことが判明。
流出したのは教職員、生徒などの住所氏名や成績情報などで、現段階では流出した情報が悪用されたとの報告はまだないとのことです。
4か月間アクセスできた5万1000人分の個人情報
事件に発覚したのは平成27年1月5日。
学外の者から1日付のメールで「学内NAS(ネットワーク接続ストレージ)に格納されているデータがインターネットから閲覧できるようになっている」と情報提供があり調査を開始。
大学はアクセス可能な状態にあるNASを確認し、直ちに外部からの接続を遮断しました。流出した可能性のある情報は以下のとおりです。
・「英語クラス編成試験」に関する「氏名」「TOEICスコア」 約1万5千人
・「入学手続予定者」の「氏名」「住所」「電話番号」「生年月日」 約1万人
(うち学外 1.5 千人)
・教員(非常勤教員を含む)の「氏名」「住所」「メールアドレス」 約 9 千人
・「2年次修了判定」にかかる「氏名」「修得単位数」「GPA※」 約 5.1 千人
・「1・2年生コース決定」に関する「氏名」「電話番号」 約 4.9 千人
・教職課程履修者の「氏名」「生年月日」「電話番号」 約 3.3 千人
・「教員免許状更新講習受講者」の「氏名」「住所」「電話番号」「生年月日」
約 0.4 千人
(学外)※ GPAとは、Grade Point Average(グレード・ポイント・アベレージ)の略。欧米の大学で広く利用さ
れている成績評価の方法で、各授業の評価ポイントの平均点
通常は考えられない流出理由
データが閲覧可能だった期間は約4か月間にわたり昨年9月7日以降、学外の計85のIPアドレスから計1027回の接続が行われていることを確認。
被害の有無などを今後調査していき随時発表を行う予定です。
今回の流出した原因ですが、昨年8月にNAS(ネットワーク接続ストレージ)を交換した際、設定を変更せずにそのまま使用していたとにより外部から自由に閲覧できる状態だったとのことです。
首都大学東京が外部委託なのか職員だけでサーバーを運用しているのか知りませんが、NASの設定を変更せずに使用することは通常ありえません。
今後の詳しい原因調査と報告が待たれます。
クラウドなどネット上にデータを保存するオンラインストレージが多くなりましたが、利用している方はいい機会なので公開設定などを一度確認しておきましょう。
追記 2015/2/12
Webサイト職質アンチパターンのもづにおんさんが、首都大学東京へ公開質問状を送りその回答を公開されております。
まだ調査中ではありますが、現時点で大学側は単純なNAS設定忘れとの認識のようです。