10日、SFC公式サイト上にて10月上旬に発生したSFC-SFSの不具合など、一連の各種システム不具合について詳細が発表された。SFC関係者の氏名やメールアドレス、パスワード、顔写真など大量の情報が流出した可能性があるという。
また、慶應義塾は今回の一連の問題を受け、新たに情報セキュリティインシデント対策チーム(CSIRT)を設置するなどセキュリティ対策の強化に努めるという。
学生・教員とも大量の個人情報が流出か
今回のSFSの不具合について、これまでは「外部からの不正アクセスの可能性があり」などとされていたが、今回初めて不正アクセスがあったと明言された。
慶應義塾最高情報責任者も務める國領二郎常任理事が公表した文書(PDF)によると、今回の攻撃では、何らかのかたちで「利用者19名(教職員)」のIDおよびパスワードが窃取され、またSFSの脆弱性も利用されて利用者の個人情報が漏えいした可能性があるという。なお、現時点では2次被害は確認されていないという。
漏えいした可能性のある個人情報は以下の通り。なお、ここにない項目についても漏えいの可能性は否定できないということだ。
学生(他キャンパス在籍の学生を含む)
- 学生情報
詳細: 学籍番号、氏名、アカウント名、CNSメールアドレス、所属情報(学部、学年、クラス、学則)、入学年月日、在籍学期数
件数: 5,088件
対象者: 総環政メ、看護健マネの2020年度秋学期在籍者・2020年度春学期に総環政メの授業を履修/TA SAを担当した他キャンパスの学生
- 学生顔写真データ
詳細: 入学時に学生証のために提出された顔写真のファイル(ファイル名はユーザとの対応を取るのが難しい形でハッシュ化されていた)
件数: 18,636件
対象者: 総環政メ2007年度以降在籍者(既に離籍している学生含む)・看護健マネ2016年度以降在籍者(既に離籍している学生含む)・総環政メの特定の授業を履修する他キャンパスの学生(既に離籍している学生含む)
- 履修履歴(単位取得)情報
詳細: 単位取得授業科目の関連情報(科目名、科目担当者、単位取得年度学期)
件数: 4,493件
対象者: 総環政メの2020年3月1日現在在籍者
教員
- 教員情報
詳細: 教職員番号、氏名、アカウント名、所属(兼務含む)、職位
件数: 2,276件
対象者: 総環政メ、看護健マネに2000年12月以降所属していた専任教員(既に離籍している教員含む)・総環政メで2000年12月以降に授業を担当していた教員(非常勤等)(過去に担当していた教員含む)
- 教員プロフィールデータ
詳細: CNSメールアドレス、シラバスシステムおよび教員プロフィールシステムへログインするためのパスワード(SFC-CNSのパスワードとは異なる)、生年
件数: 2,276件
対象者: 総環政メ、看護健マネに2000年12月以降所属していた専任教員(既に離籍している教員含む)・総環政メで2000年12月以降授業を担当していた教員(非常勤等)(過去に担当していた教員含む)
- 教員住所データ
詳細: 自宅住所
件数: 193件
対象者: 2000年12月以降2009年度までに登録された総環政メ、看護健マネに所属する専任教員(既に離籍している教員含む)・2000年12月以降2009年度までに登録された総環政メで授業を担当する教員(非常勤等)(過去に担当していた教員含む)
不正アクセスを受けた19名の教員
- 教員個人の電子メールデータ
詳細: 教員個人が保有する電子メールデータ
件数: 2名
対象者: 不正アクセスが確認された利用者19名のうちの2名
- 教員個人の電子メールデータ(8月20日-9月16日受信分)
詳細: 教員個人が保有する電子メールデータのうち、8月20日-9月16日受信分
件数: 15名
対象者: 不正アクセスが確認された利用者19名のうちの15名
- 教員個人のkeio.jpの電子メールデータ
詳細: 教員個人が保有するkeio.jpの電子メールデータ
件数: 5名
- 教職員個人のユーザホーム上のデータ
詳細: 教職員個人が保有するユーザホーム上に置かれたデータ
件数: 19名
対象者: 不正アクセスが確認された利用者19名
職員および委託業者等情報
詳細: 教職員番号、氏名、アカウント名、メールアドレス
件数: 233件
対象者: 慶應義塾に所属し、SFC-CNSアカウントを所有する職員(他地区含む)・SFC-CNSアカウントを所有する委託業者等
判明した後の対応も明らかに
不正アクセスがあったと判明した経緯、その後SFCで行われた対応の詳細も明らかにした。
まず「慶應義塾大学のIT部門」において9月15日17:45頃、SFC-CNSにおいて不審なアクセスを検知。詳細を調査した結果、SFC-SFSへの脆弱性探査が散発的に行われている形跡があり、さらに9月28日夜にSFC-SFSへの不審なアクセスを検知したため、SFC-SFSシステム上で詳細を調査した結果、9月29日未明にSFC-SFSへの不正アクセスによる情報漏えいの可能性が判明した。
その後、以下の対応がとられたという。
- 9月16日と30日に全ての利用者にパスワード変更の依頼
- 9月16日より、全ての認証箇所、認証ログ等を継続監視
- 9月16日より、学外のネットワークから共用計算サーバへのログイン方法を公開鍵認証のみに限定
- 脆弱性が確認されたWebサービスの停止
- SFC-SFSの停止とそれにより総環政メの秋学期授業開始を1週間遅れの繰り下げ
なお、現在も継続してSFC-SFSは停止している。
再発防止策を強化 CSIRTを設立
今回の一連のサイバー攻撃を受け、慶應義塾ではCSIRT(情報セキュリティインシデント対策チーム)を1日に発足させ、包括的なセキュリティ対策が取れる組織づくりをすすめるとともに、外部の専門機関とも連携しながらセキュリティの強化に努めるという。
専門家「意識改革も含めセキュリティ向上に」
今回のインシデントについて、セキュリティが専門のSFC研究所所員の方に話をきいた。
専門家の話
今回のセキュリティインシデントが発生したことは、対応にあたった関係者にとっては大変だったと思う。ただし別の見方をすれば、目に見えないセキュリティインシデントのリスクを学生や教員にリアルに感じてもらうまたとない機会となったと考える。今回のインシデントを教訓にして、学生や教員を巻き込んだ意識改革も含めたセキュリティ向上に役立つことを期待する
対策が強化されたからと言って今後は100%安全と言えるわけではない。ITCやCSIRTなど専門部署による日常的な監視強化が望まれるとともに、利用者の立場でも注意をはらい、パスワード類の適切な管理など常日頃できる対策を行うようにしたい。
