本学名誉教授のメールアカウントが何者かに不正に利用され、メールシステムの情報が閲覧・取得された可能性を否定できない事案が発生いたしました。詳細は下記のとおりです。
なお、現在のところ、被害等の報告はありません。
1.事案の概要
- 12 月 7 日 16:30 頃、名誉教授から、出した覚えのないメールが多数返ってくると大学へ連絡。至急ログを確認したところ、名誉教授のメールアカウントから、6 日 23:30 頃から 7 日16:30 頃にかけて、不審な英文メールが 46 件送信され、1,230 件の送信をシステムがブロックしていたことが判明。
- 更に調査を行ったところ、8 月 30 日以降に約 1,000 件(うち半数は 12/6 以後に集中)の海外からのログインを検出。
2.漏えいした疑いのある情報の内容(計 5,288 人)
- 本学ユーザー(教職員、学生、名誉教授、公開講座等受講者 計3,537人)の氏名・本学が付与したメールアドレス、ユーザーが自身のプロフィールに任意入力した部署・職場電話番号等の情報
- 名誉教授のアドレス帳の情報(登録件数 991 人:他大学、機関、企業等の関係者、個人の氏名・メールアドレス・所属先・部署・役職・電話番号等)
- 名誉教授のメールボックス内のメール内容、添付ファイル教員等の履歴書・略歴 43 人分:住所・氏名・生年月日・電話・メールアドレス・学歴・職歴・顔写真等人事資料 101 人分:氏名・生年月日・住所・最終学歴・現職位・教育歴・審査結果等研究室等の名簿 612 人分:氏名・住所・電話番号・メールアドレス・役職その他 4 人分:翻訳代金請求者の氏名・住所・口座番号等
3.原因
- 本学では二要素認証(※)を原則としているが、名誉教授においてはスマートフォン等を所持していないことから申し出により除外していたこと、名誉教授のパスワードとして数桁の簡単なものが使用されていたこと、メールアカウント・パスワードが他のサイトで使用されていたことが重なったためと考えられる。
※メールアカウント・パスワードの入力及び SMS か電話で確認コードを提示
4.これまでに行った対応
- 当該アカウントのパスワードを変更し、不審メール発信停止を確認
- 本学ユーザーにメールで報告、注意喚起
- 名誉教授からアドレス帳登録先にメールでお詫び、報告、注意喚起
- 名誉教授による端末のウイルススキャン
- 名誉教授のメール内情報の精査
- Microsoft に相談、確認
- 関係者への謝罪通知(継続中)
- 警察への相談
- 大学HPへの掲載
- 相談窓口の設置