この度、東海国立大学機構名古屋大学情報連携推進本部で運用しているQ&Aシステム(情報システムに関する問い合わせシステム)が第三者により不正にアクセスされ、メールアドレスが漏洩した可能性がある事案が確認されましたので、現在の状況と今後の対応についてお知らせします。
2022年5月16日(月)、Q&Aシステムのログを確認したところ、第三者から攻撃を受けていたことが判明しました。この攻撃は5月10日(火)4時27分から10時35分の間、及び5月14日(土)11時14分から5月15日(日)8時45分の間であり、アクセスログ解析の結果、当該システムに保存されていた、質問時に連絡先として記載されたメールアドレスが2,086件漏洩した可能性があります。
不審なアクセスの報告を受けた日に、プログラムを修正することにより当該システムの脆弱性を解消いたしました。現時点では、閲覧されたメールアドレスが悪用された事実は認められておりません。
漏洩した可能性のある方々には、登録されていたメールアドレスにメールにて事実関係をご説明するとともに、対応窓口の設置及びその連絡先をお伝えし、お詫び申し上げたところです。
このような事態を招き、関係者の皆様にご迷惑をおかけしましたことを深くお詫び申し上げます。
第三者に不正アクセスされた原因は、ブラインドSQLインジェクションと呼ばれる、Webアプリケーションのデータベースを不正に操作する攻撃によるものです。今後は、サーバー管理や情報セキュリティの確保に関する教育研修を強化し、構成員の意識向上を図るとともに、設備面ではWeb Application Firewall(WAF)の導入を検討するなど、再発防止に努めて参ります。