パスワードを忘れた? アカウント作成
13479958 story
情報漏洩

大阪大学、不正アクセスを受けて個人情報約7万件を漏えい 25

ストーリー by hylom
どういう手口だろうか 部門より
あるAnonymous Coward 曰く、

大阪大学が不正アクセスを受け、教育用計算機システムの利用者69,549件の情報や、学外関係者の個人情報11558件が漏えいした可能性があると発表した日経ITpro)。

漏えいした可能性があるのは同学教職員および学生、元教職員、元学生の氏名や所属、メールアドレス。また、学生/元学生については入学年度、学籍番号なども漏えいした可能性がある。これに加えて、漏洩したIDを使った不正ログインによって教職員59名のメールに含まれていた学外・学内関係者の氏名や所属、電話番号、メールアドレス等(学内関係者については人事情報や給与情報も)漏えいした可能性があるようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2017年12月14日 14時45分 (#3329645)

    学食の食券500円を7万券ですかね
    35,000,000円の1/3を原価として
    11,666,666...円かな

  • by Anonymous Coward on 2017年12月14日 14時42分 (#3329641)

    たいした情報含まれないから問題はないけど、元学生が含まれるなら、せめて何年度入学・卒業まで漏れた可能性があるかを発表してもらいたい。

    • by Anonymous Coward on 2017年12月14日 16時34分 (#3329730)

      大学内の人間です。
      ここ数ヶ月、情報室から何度も
      「Linuxユーザーはルートキットをチェックせよ、ここからダウンロードしろ!」
      なんていう怪しい指令だとか
      「ルーターから異常な通信が!チェックせよ!」
      とかうるさいなぁと思っていましたが、こういうことだったんですか。

      しかし、チェックせよで何とかしようとしても、管理があまあまな大学なのでいつかはこういうことは起こるでしょうね。
      重要な情報に触れられる人間はせめてもうちょっとセキュリティ意識高いと良いのですが。

      そもそも、大学の情報システム系のレベルが低すぎて、再発防止とか無理な気がします。

      親コメント
    • by Anonymous Coward

      学務なんかのデータベースが漏洩したのならわかるけど、教育用計算機システムになんでOBの情報が残してあるんだろう。

      • by Anonymous Coward on 2017年12月14日 17時49分 (#3329819)

        ニュース見ると
        内部のシステムに侵入されてそこにパケットキャプチャしこまれて
        365の管理者パスワード引っこ抜かれたとか

        親コメント
        • by Anonymous Coward

          パケットキャプチャって、仕掛けられる時点でもう何らかの管理者権限が取られてません??…そんでパケットキャプチャでパスワードが取られるって、暗号化とかはどうなってん?ほんとなんかな??

      • by Anonymous Coward

        OB にもメールアドレスを提供するっていうサービスがあるそうだから、認証システムが共通だったってことじゃない?

        • ・本学学生の ID 、氏名、所属、本学発行のメールアドレス、入学年度、学籍番号
          24,196 件
          ・元学生の ID (現在使用不可)、氏名、所属、本学発行のメールアドレス(現在使用不可)、入学年度、学籍番号
          23,467件

          だそうです。元学生はメールアドレスも無効化されているので、生涯メールとは別ものでしょう。(OBに提供される生涯メールは、学生アカウントとはメールアドレスが異なってます [osaka-u.ac.jp])

          以下、かなり当てずっぽうの推測になりますが、
          たぶん、元学生に対してアカウントを論理削除しただけで物理削除はしてなかったということでしょう。
          入学者数は1学年あたり3,400人程度 [osaka-u.ac.jp]なので、47,000人は14年分ぐらい。学生と元学生がほぼ同数なので、7年前の時点で有効だった学生アカウントを起点に積算したらこのぐらいの数字になりそうです。
          で、その時期のサイバーメディアセンターの沿革 [osaka-u.ac.jp]を見ると、「2010年10月 全学IT認証基盤(CA/RA)システム更新」とあるので、たぶんこの時点で利用可能アカウントのみデータ移行し、以後ずっとDBに残っていてそれが今回流出したって感じじゃないかなぁ…

          親コメント
          • by Anonymous Coward

            重複防止に、卒業後もしばらくメールアドレスを残しておく方針とかじゃないかな。そのついでに名前のエントリも残ってたとか。

            学籍番号@ドメイン名、なら大丈夫なんだけど、学生の氏名から作ったメールアドレス@ドメイン名、だと被るとまずい。
            1回使ったメールアドレスは数年塩漬けにするとかそう言う運用がされてたような気がする。

            それはそれで不味い運用だと思うけど。

    • by Anonymous Coward

      大阪大学への不正アクセスについてまとめてみた [hatena.ne.jp]

      メール本文とか色々漏れてるらしいよ。

      • by Anonymous Coward

        阪大の発表以上の内容が含まれているわけでもなさそうだし、日経ITproの方が分かりやすい気がする。

  • by Anonymous Coward on 2017年12月14日 15時06分 (#3329651)

    他のニュースやプレスリリースでは全文を書いてるのになぜかこういう時だけPDFで別ページ発表とかおかしい

    • 1.WORDなどで文書を作る
      2.紙に印刷する
      3.その紙にハンコ押す
      4.再び電子化するために紙をスキャナで取り込む
      5.取り込んだスキャナ画像をそのままPDFにする

      つまりハンコが問題なんだ、とこないだ教えてもらった
      まれに
      6. 別の人のハンコも必要になって2に戻る
      ということも起こるらしい

      親コメント
    • by Anonymous Coward on 2017年12月15日 10時41分 (#3330251)

      大阪大学様は、これまで数々の研究費不正等案件で、様々なノウハウが蓄積されていますからね。
      研究費不正技術と、この広報手法の開発をしているのかと言うくらい、毎年発表されています。大阪大学様の主要な研究開発テーマなんでしょう。

      今回は、
      ・連休や長期休暇直前の金曜日夕方発表ではない
      ・PDFはWord 2016から出力されたものをそのまま用いており、印刷したものを低解像度スキャンした画像のみのPDFファイルではない
      ・「イノシシに注意」とか「新春特別対談」など、他の謎ニュース記事で沈めていない
      といったことを勘案すると、研究費不正ほど深刻な問題と捉えていないということでしょう。執行部が変わり、もう少し真摯に対応することになっただけかもしれませんが…。

      後は、
      ・ほとぼりが冷めたら (ウェブ公開後2週間位)、コンテンツを削除する
      が行われるかどうか、見守ることになります。

      親コメント
    • by Anonymous Coward

      普通の文書は直属上長くらいだから何か(コピペミスとか)あっても直属上長の裁量で終わるけど
      エラいヒトの決裁が必要な文書は決裁文面と違うのを上げちまうと後々面倒なんじゃないの?

      PDFにしとけば関係者への配布も楽だしね。

    • by Anonymous Coward

      画像でないからOK。検索できるし保存しやすい

    • by Anonymous Coward

      他のニュースとは違ってこの手は各報道機関にFAXするからじゃないかな

      #表向きの理由だけどね

  • by Anonymous Coward on 2017年12月14日 16時05分 (#3329703)

    文科省責任者を処分せよ

    • by Anonymous Coward

      そういえば、情報漏洩で責任とって辞めたトップって居たっけ?
      その後、経営不振になって辞めた、とかはあった気もするけど。

      • by Anonymous Coward

        個人情報漏洩だとベネッセが取締役二人が辞任が最高かしら
        イージス艦情報漏洩で海上自衛隊の幕僚長が辞任
        インサイダー情報漏洩でDCM JAPANホールディングス社長が辞めた事はあるようだけど

        個人情報は漏れてもトップは辞めないね

  • by Anonymous Coward on 2017年12月14日 16時56分 (#3329755)

    放送大学のウェブシステムを運用するためのアカウントが第三者に不正利用され迷惑メール、14万回超(読売新聞 [yomiuri.co.jp])送信していた。
    二度目

  • by Anonymous Coward on 2017年12月15日 7時19分 (#3330169)

    自分が通ってた私立の工科大学だと、学内ファイルサーバとかのログイン情報提供してるっぽいADサーバに対してADExplorer [microsoft.com]で自分のログイン情報使ってアクセスすればストーリーに記載されている情報の結構な量がアカウント情報として表示されていたんだけど…

    古いアカウントはちゃんと消していたようなので、元教職員や元学生の情報で、
    氏名、所属、メールアドレス、入学年度、学籍番号、アカウントID、は確認できた。
    ログイン回数とかログイン失敗情報、4年を超えるアカウントからは留年の予測も取れる。

    二段階目のメールからの流出した人事情報や給与情報や電話番号は含まれないけど、
    初手で漏れた情報は全部普通にADサーバで閲覧可能だったからコレを指して流出と言われるとうちの大学もアウトになるのかな。
    でも、無闇矢鱈に制限は掛けられない場所だろうし、ADサーバでこれらの情報が見えてる組織はかなり多いんじゃないだろうか。

    二段階目の教職員59名分の不正ログインが何故可能だったかは気になるな。
    パスワードが誕生日か何かで予測可能だったとか言うオチだろうか。
    正直、この不正ログインの部分が一番重要で他は枝葉に近いと思う。

typodupeerror

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

読み込み中...