【セキュリティ事件簿#2023-055】明治大学 本学サーバーへの不正アクセスによる被害および個人情報漏洩の可能性について 2023年2月9日


本学生田キャンパスにおいて運用・管理する教育研究システムが第三者による不正アクセスを受け、サーバーに保管されていたメールアドレスが窃取された可能性があることが判明いたしました。

関係する皆様に多大なご迷惑をおかけしましたことを心よりお詫び申し上げます。
現在の状況と今後の対応につきまして、次のとおりご報告いたします。

1 経緯

生田キャンパスの教育研究システムのサーバーに対し、第三者からの攻撃が行われ、不審なプログラムが実行されていることが、2022 年 10 月 19 日に判明いたしました。直ちに被害拡大の防止措置を行うとともに、情報漏洩などの被害状況を確認すべく、同年 10 月から 12 月にかけて外部専門業者の協力を得ながら調査を続けてまいりました。

調査の結果、攻撃は同年 7 月 25 日から複数回にわたって行われており、学生および本学構成員36,692件のメールアドレスが窃取された可能性があることが判明いたしました。

2 被害状況

窃取された可能性のあるメールアドレス 36,692 件は、MeijiMail のサービス名称で本学が構成員に対して発行しているものです。全ての方々について、氏名・住所・電話番号・パスワード・成績情報などの個人情報は、窃取されていないことを確認しております。しかしながら、このうちの 48 件については、メールアドレスから氏名が類推されることを確認いたしました。

なお、現時点において、不正に得た情報が悪用されたという被害報告はございません。

3 メールアドレスから氏名が類推される可能性がある方々への対応

すでに、メールアドレスから氏名が類推される可能性がある方々に対し、その事実を報告し、謝罪文を送付しております。また、その他の方々にも、本学学生・教職員向けのポータルサイト(Oh-o!Meiji システム)を通じて報告をしております。併せて、本件に関する問い合わせ窓口を案内し、個別に対応を行っております。

4 被害の拡大防止および再発防止について

事態を把握した 2022 年 10 月 19 日中に、不正に使用されたアカウントの停止や、通信の遮断などの対策をいたしました。また、攻撃プログラムの除去およびセキュリティに関連した脆弱性の点検を行い、被害の拡大防止措置を取っております。

現在、引き続き専門業者の協力のもと原因究明調査を行っております。詳しい原因が判明次第、事態の再発防止と早期発見に向けたさらなる対策を講じてまいります。