【セキュリティ事件簿#2023-117】奈良女子大学 情報セキュリティインシデントの発生について 2023年3月29日


この度、学生 1 名の大学メールアドレス及びパスワードが詐取され、Microsoft365のサービスを悪用しメールが送信される事案が発生しました。調査したところ、Microsoft365 に格納されていたユーザー情報(氏名及びメールアドレス)の一覧が表示できる Web ページへのアクセス制限が適切になされていなかったため、当該アカウントでログインされ、ユーザー情報が閲覧された可能性があることが判明しました。

既に当該学生のメールアドレスのパスワードは変更しており、変更後の不正ログインは確認されていません。また、ユーザー情報が閲覧できる Web ページには直ちにアクセスを制限する設定を実施しました。

このような事案が発生し、関係の皆様に多大なご迷惑をお掛けすることとなり、深くお詫び申し上げます。今回の事案を重く受け止め、メールアドレス及びパスワードの厳重な取扱いを徹底するとともに、多要素認証の導入など再発防止措置を講じてまいります。

なお、現在までに、上記以外のメールアドレスやアカウントの悪用等に関する事実は確認されていません。また、この事案に関して、個人情報漏洩の可能性に該当する方に対しては、個別にお詫びと状況説明を行っています。

1.経緯
  1. 2023 年 3 月 3 日(金)に、学生 1 名の大学メールアドレスに不審なメールが大量に届いたとの相談が受信後すぐにあり、その場でパスワードを変更した。
    聞き取り調査の結果、当該学生が外部企業等のウェブサイト登録のため、大学のメールアドレスを用いた際に、本学で使用していたパスワードを使いまわしていたことが判明した。
  2. 大学のメールアドレスをアカウントとする Microsoft365 のサービスについて調べたところ、当該学生のアカウントで 2023 年 2 月 7 日(火)以降に不審なアクセスが複数回なされたことが判明した。
  3. 不審なメールを調査したところ、Microsoft365 の当該アカウントがスパムメールの送信元として悪用されていたことが判明した。上記1.でのパスワード変更後は不正な利用は確認されていない。
  4. Microsoft365 サービス上の Web ページで組織内のユーザー情報が閲覧できるページを点検したところ、情報漏洩の可能性があることが判明した。当該ページへはすぐにアクセス制限を実施した。
2.漏洩した可能性のある情報

 氏名・大学メールアドレス
教職員・・・ 1,144 件
学生 ・・・ 3,727 件

3.当該アカウントから送信されたスパムメール件数
 389 件