あるAnonymous Coward 曰く、大阪大学が不正アクセスを受け、教育用計算機システムの利用者69,549件の情報や、学外関係者の個人情報11558件が漏えいした可能性があると発表した(日経ITpro)。漏えいした可能性があるのは同学教職員および学生、元教職員、元学生の氏名や所属、メールアドレス。また、学生/元学生については入学年度、学籍番号なども漏えいした可能性がある。これに加えて、漏洩したIDを使った不正ログインによって教職員59名のメールに含まれていた学外・学内関係者の氏名や所属、電話番号、メールアドレス等(学内関係者については人事情報や給与情報も)漏えいした可能性があるようだ。
お詫びは (スコア:1)
学食の食券500円を7万券ですかね
35,000,000円の1/3を原価として
11,666,666...円かな
情報不足 (スコア:0)
たいした情報含まれないから問題はないけど、元学生が含まれるなら、せめて何年度入学・卒業まで漏れた可能性があるかを発表してもらいたい。
Re:情報不足 (スコア:1)
大学内の人間です。
ここ数ヶ月、情報室から何度も
「Linuxユーザーはルートキットをチェックせよ、ここからダウンロードしろ!」
なんていう怪しい指令だとか
「ルーターから異常な通信が!チェックせよ!」
とかうるさいなぁと思っていましたが、こういうことだったんですか。
しかし、チェックせよで何とかしようとしても、管理があまあまな大学なのでいつかはこういうことは起こるでしょうね。
重要な情報に触れられる人間はせめてもうちょっとセキュリティ意識高いと良いのですが。
そもそも、大学の情報システム系のレベルが低すぎて、再発防止とか無理な気がします。
Re: (スコア:0)
学務なんかのデータベースが漏洩したのならわかるけど、教育用計算機システムになんでOBの情報が残してあるんだろう。
Re:情報不足 (スコア:1)
ニュース見ると
内部のシステムに侵入されてそこにパケットキャプチャしこまれて
365の管理者パスワード引っこ抜かれたとか
Re: (スコア:0)
パケットキャプチャって、仕掛けられる時点でもう何らかの管理者権限が取られてません??…そんでパケットキャプチャでパスワードが取られるって、暗号化とかはどうなってん?ほんとなんかな??
Re: (スコア:0)
OB にもメールアドレスを提供するっていうサービスがあるそうだから、認証システムが共通だったってことじゃない?
Re:情報不足 (スコア:2)
だそうです。元学生はメールアドレスも無効化されているので、生涯メールとは別ものでしょう。(OBに提供される生涯メールは、学生アカウントとはメールアドレスが異なってます [osaka-u.ac.jp])
以下、かなり当てずっぽうの推測になりますが、
たぶん、元学生に対してアカウントを論理削除しただけで物理削除はしてなかったということでしょう。
入学者数は1学年あたり3,400人程度 [osaka-u.ac.jp]なので、47,000人は14年分ぐらい。学生と元学生がほぼ同数なので、7年前の時点で有効だった学生アカウントを起点に積算したらこのぐらいの数字になりそうです。
で、その時期のサイバーメディアセンターの沿革 [osaka-u.ac.jp]を見ると、「2010年10月 全学IT認証基盤(CA/RA)システム更新」とあるので、たぶんこの時点で利用可能アカウントのみデータ移行し、以後ずっとDBに残っていてそれが今回流出したって感じじゃないかなぁ…
Re: (スコア:0)
重複防止に、卒業後もしばらくメールアドレスを残しておく方針とかじゃないかな。そのついでに名前のエントリも残ってたとか。
学籍番号@ドメイン名、なら大丈夫なんだけど、学生の氏名から作ったメールアドレス@ドメイン名、だと被るとまずい。
1回使ったメールアドレスは数年塩漬けにするとかそう言う運用がされてたような気がする。
それはそれで不味い運用だと思うけど。
Re: (スコア:0)
大阪大学への不正アクセスについてまとめてみた [hatena.ne.jp]
メール本文とか色々漏れてるらしいよ。
Re: (スコア:0)
阪大の発表以上の内容が含まれているわけでもなさそうだし、日経ITproの方が分かりやすい気がする。
なんでどこの組織でもPDFで発表するの? (スコア:0)
他のニュースやプレスリリースでは全文を書いてるのになぜかこういう時だけPDFで別ページ発表とかおかしい
Re:なんでどこの組織でもPDFで発表するの? (スコア:1)
1.WORDなどで文書を作る
2.紙に印刷する
3.その紙にハンコ押す
4.再び電子化するために紙をスキャナで取り込む
5.取り込んだスキャナ画像をそのままPDFにする
つまりハンコが問題なんだ、とこないだ教えてもらった
まれに
6. 別の人のハンコも必要になって2に戻る
ということも起こるらしい
Re:なんでどこの組織でもPDFで発表するの? (スコア:1)
>6. 別の人のハンコも必要になって2に戻る
7. 更に別の人の…※.(2)~(5)繰り返し
Re:なんでどこの組織でもPDFで発表するの? (スコア:1)
スタンプラリーやね。w
Re:なんでどこの組織でもPDFで発表するの? (スコア:1)
スタンプ10個で稟議書完成
Re:なんでどこの組織でもPDFで発表するの? (スコア:1)
大阪大学様は、これまで数々の研究費不正等案件で、様々なノウハウが蓄積されていますからね。
研究費不正技術と、この広報手法の開発をしているのかと言うくらい、毎年発表されています。大阪大学様の主要な研究開発テーマなんでしょう。
今回は、
・連休や長期休暇直前の金曜日夕方発表ではない
・PDFはWord 2016から出力されたものをそのまま用いており、印刷したものを低解像度スキャンした画像のみのPDFファイルではない
・「イノシシに注意」とか「新春特別対談」など、他の謎ニュース記事で沈めていない
といったことを勘案すると、研究費不正ほど深刻な問題と捉えていないということでしょう。執行部が変わり、もう少し真摯に対応することになっただけかもしれませんが…。
後は、
・ほとぼりが冷めたら (ウェブ公開後2週間位)、コンテンツを削除する
が行われるかどうか、見守ることになります。
Re: (スコア:0)
普通の文書は直属上長くらいだから何か(コピペミスとか)あっても直属上長の裁量で終わるけど
エラいヒトの決裁が必要な文書は決裁文面と違うのを上げちまうと後々面倒なんじゃないの?
PDFにしとけば関係者への配布も楽だしね。
Re: (スコア:0)
画像でないからOK。検索できるし保存しやすい
Re: (スコア:0)
他のニュースとは違ってこの手は各報道機関にFAXするからじゃないかな
#表向きの理由だけどね
これは酷い (スコア:0)
文科省責任者を処分せよ
Re: (スコア:0)
そういえば、情報漏洩で責任とって辞めたトップって居たっけ?
その後、経営不振になって辞めた、とかはあった気もするけど。
Re: (スコア:0)
個人情報漏洩だとベネッセが取締役二人が辞任が最高かしら
イージス艦情報漏洩で海上自衛隊の幕僚長が辞任
インサイダー情報漏洩でDCM JAPANホールディングス社長が辞めた事はあるようだけど
個人情報は漏れてもトップは辞めないね
放送大学も (スコア:0)
放送大学のウェブシステムを運用するためのアカウントが第三者に不正利用され迷惑メール、14万回超(読売新聞 [yomiuri.co.jp])送信していた。
二度目
漏れた情報 (スコア:0)
自分が通ってた私立の工科大学だと、学内ファイルサーバとかのログイン情報提供してるっぽいADサーバに対してADExplorer [microsoft.com]で自分のログイン情報使ってアクセスすればストーリーに記載されている情報の結構な量がアカウント情報として表示されていたんだけど…
古いアカウントはちゃんと消していたようなので、元教職員や元学生の情報で、
氏名、所属、メールアドレス、入学年度、学籍番号、アカウントID、は確認できた。
ログイン回数とかログイン失敗情報、4年を超えるアカウントからは留年の予測も取れる。
二段階目のメールからの流出した人事情報や給与情報や電話番号は含まれないけど、
初手で漏れた情報は全部普通にADサーバで閲覧可能だったからコレを指して流出と言われるとうちの大学もアウトになるのかな。
でも、無闇矢鱈に制限は掛けられない場所だろうし、ADサーバでこれらの情報が見えてる組織はかなり多いんじゃないだろうか。
二段階目の教職員59名分の不正ログインが何故可能だったかは気になるな。
パスワードが誕生日か何かで予測可能だったとか言うオチだろうか。
正直、この不正ログインの部分が一番重要で他は枝葉に近いと思う。