本学が利用しているe-ラーニングシステム(manabie:マナビー:以下、本システムと呼びます。)が第三者による不正アクセスを受けた件につきましては、令和5年8月22日及び令和5年12月7日にご報告しておりましたが、最終報告とし、下記のとおり対応についてお知らせいたします。
この度の不正アクセスにおいて、関係する皆様にご迷惑とご心配をおかけしましたことをあらためてお詫び申し上げます。なお、詳細は別添「e-ラーニングシステム(manabie:マナビー)不正アクセス報告書」をご確認ください。
1.今回の不正アクセスについての概要
令和5年8月4日 9 時 16 分頃、大学の公式ホームページを通じて、本システムが不正アクセスを受けているとの情報提供があり、調査した結果、本システムが第三者による不正アクセスを受け、サーバーに保管されていた個人情報が流出したおそれがあることが判明しました。
本システムのプログラムは、一般公開されているプログラムを基に構築しています。今回の不正アクセスでは、一般公開されているプログラムに脆弱性が発見され、外部のハッカーがその脆弱性を悪用し本システムに侵入しました。そして、本システムの運用については外部に委託していましたが、本学の委託先に対する監督が不十分であったことなどが問題であったと考えます。
外部の専門機関の調査の結果、情報漏えい等の痕跡は確認されませんでした。また、個人情報漏えいのおそれがあることを在校生および卒業生に連絡し、個人情報漏えいが疑われる場合は連絡を依頼していますが、現時点までに連絡はありません。今後も継続的に対応してまいります。
2.対応について
今回、不正アクセスを受けた本システムは、廃止しました。
また、今回の不正アクセスを可能にした要因を踏まえ、以下の対応を着実に実施してまいります。
- 一般利用されているプログラムの脆弱性情報収集と、本学で管理するシステムの定期的な脆弱性診断
- システムをより安全に運用していくための委託契約スキームの見直し及び委託業者の監督強化
- 不正アクセス等を早期に発見し、適切に対応して早期に回復するための初動マニュアルの整備や不正アクセス等の発生を想定した適切な体制づくり
- 全教職員を対象とした情報セキュリティに関する実効性のある教育・訓練の実施
この度の不正アクセスにおいて、関係する皆様にご迷惑とご心配をおかけしましたことを重ねてお詫び申し上げます。今回の事態を重く受け止め、必要な対策を講じ、再発防止に努めてまいります。
【2023年8月22日リリース分】