事故から学ぶ

研究室用 Web サーバにおける不正アクセスについて 東京女子大

事故概要

業種 東京女子大
発生時期 2019/10/28
漏えい人数 未発表
事故概要

この度、東京女子大学の研究室用 Web サーバ* において、研究者 5 名のユーザアカウントに対して不正アクセスがあり、当該アカウントから不正にファイルがアップロードされる事案が発生いたしました。
これまでに判明しました不正アクセスの詳細について、以下のとおりご報告いたします。
1.経緯
2019 年 7 月 23 日夕刻、研究室用 Web サーバ更新準備作業中に、不正アクセスを発見し、不正なファイルを 2016 年 6 月ごろからアップロードされていることが判明しました。
速やかに該当ユーザのパスワードを変更し、公開中のファイルにアクセスできないよう措置するとともに、サーバ上で実行できないよう機能を停止しました。同時に、他のユーザについてパスワード漏洩ならびに不正アクセスの状況、上記以外のサーバ上で実行可能なプログラムについて調査し、被害状況の把握を進めてまいりました。
現在、不正アクセスのあったユーザのパスワードは、すべて変更が完了しました。
また、上記以外にサーバ上で実行可能なプログラムがなかったことを確認しました。
現在のところ、東京女子大学(以下、「本学」)以外での被害の発生は確認されておりません。
今回の件は、研究者が学外のシステムで使用していたパスワードが、不正に使用されていた可能性が高いと考えております。
2. 不正アクセスの件数
5 ユーザに対して計 52 ファイルがアップロードされていました。
3. 不正なファイルの内容
・特定の条件可で、サーバ上で動作する PHP バージョンを表示する。
・特定の条件可で、メール送信を行う。
4. 再発防止に向けた対応
本学では、このたびの事態を厳粛に受け止め、研究室ネットワーク運営委員会ならびに情報処理センターが連携し、再発防止の強化を図ります。
すでに、全研究室用ネットワーク利用者へパスワードの適切な管理についての注意喚起を行いました。今後は、Web アプリケーションファイアーウォールの導入も検討しております。

引用元 東京女子大

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
22-24 (第22条)委託先の監督 社内規則の整備(外部サービス利用)

チェックリストにある要求ルール:

クラウドサービスなど外部サービスを利用する時は利用規約やセキュリティ対策を確認するなど、サービスの安全・信頼性を把握して選定していますか?
サーバの安全管理措置徹底を頻繁に確認し、徹底していますか。特に外部委託している場合は、まかせっきりにせず自らの目でも確認していますか?

■ 推奨対策

対策:

不正アクセスは、とくに有名サイトや大勢の会員サイトは毎日狙われており、その不正アクセスの手段も常に変化を遂げている。IT担当個人や部署だけではその知識量が不足することも知られており、安全性を担保するためには、専門サービス会社との連携をすべきである。

具体例:

ITサービスでの安全性確認は、既知の問題に対する確認しかできない。従って確認者の知識向上が不可欠になるが、ここに力を入れる企業が少ないのも問題である。せめてニュースに取り上げられるサイバーアタックのキーワードだけは必ず押さえておき、利用しているクラウドサービス担当者とセキュリティ対策について、責任ある回答を常に得ておくべきであるし、セキュリティセミナーなどにも積極的に参加させなければならない。職員教育とは「個人情報を守りましょう」という研修だけではないことを、職場の幹部自身が理解しなければならない。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。