事故から学ぶ

本学ウェブサイトの一部の改ざんについて 龍谷大学

事故概要

業種 民間企業
発生時期 2021/6/25
漏えい人数 0
事故概要

本学、研究関連のウェブサイト(ホームページ)の一部が、第三者による不正アクセスにより改ざんされたことが判明しました。現在、調査を進めておりますが、現時点では、改ざんされた以外、問題は確認できておりません。皆様にご不便をおかけし深くお詫び申し上げます。
1 改ざん判明の経緯と実施した対応
6月25日(金)10時30分頃、研究関連のページを検索すると学外の無関係なサイトにページ移動する等の異常を発見しました。こうした状況を受け被害状況を確認しておりましたが、7月2日(金)該当する研究関連のウェブサイトに対する学外からの通信を遮断しました。引き続き調査を行っております。

引用元 龍谷大学

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

21-19(第21条)従業者の監督 作業ルールの徹底
(ホームページ・メール本文誤開示防止)

チェックリストにある要求ルール:

法律が改正されクッキーの利用方法が制限されました。法律に則ったクッキーの利用方法になっていますか?
ホームページやSNS、同報メール、FAXに情報を掲載する際、個人情報、社外秘情報が含まれていないこと、添付ファイルに誤りがないことを、複数回、複数の人でチェックしていますか。
ホームページへの情報掲載直後に、アップロードした資料などに個人情報が掲載されていないか、複数の人で確認していますか。
ホームページからデータ検索をしたときに、不要な情報が開示されていないか複数のブラウザで確認していますか?
Webから登録させる仕組みの中で、過去履歴を検索させたときに他人の履歴や他人の情報が開示されていないかかくにんしていますか?
ホームページ掲載時に不適切な掲載がないか、複数の人で確認をしていますか?
会報、取引先を含めたグループニュース、企業が発信者のSNSなどへの掲載時に個人情報が含まれていないか確認し、あるいは掲載対しての許可など本人の承認を得ていますか?
システム開発時にデータが関係者以外からアクセスできるようになってたり、不要な情報開示がされていませんか?
偽りのドメインを利用したページとの混同を避ける制御、注意喚起をしていますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

不正アクセスによりホームページが改ざんされ、不正なサイトに誘導される仕組みが埋め込まれた事案である。
個人情報漏えいの発表はないが、引き続き調査をするとしているので、漏えいの有無を早急かつ徹底的に調査をしてい頂きたい。

具体例:

セキュリティ対策は新しい手口と防衛策のイタチごっこになっており、不正アクセスを完全に防ぐことはできない、とされている。だからといって放置するわけにもいかないので、新しい手口に対する某政策を講じ続ける以外ない。すべてを自力で行うのは難しいので、色々なサービスを利用して防衛力を高めていただきたい。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。