【セキュリティ事件簿#2023-346】山形大学 本学への不正アクセスによる個人情報の流出の可能性に関するお知らせとお詫び 2023年9月1日


このたび、本学で運用している研究室ホームページのサーバが不正アクセスを受け、改ざん・不正プログラムが書き込まれるという事案が確認され、本学が保有する個人情報が漏洩した可能性を排除できないということが判明しましたのでお知らせいたします。

今回このような事案が発生し、関係者の皆様に大変なご迷惑をお掛けすることとなり、深くお詫び申し上げます。本学では、今回の事態を重く受け止め、より一層、個人情報の保護、情報セキュリティ対策の適切な管理に努めて参ります。

1.本件の経緯

令和5年7月1日(土)にコンテンツサポート業者から、本学が運営している研究室の外部公開ホームページが改ざんされている旨の通報がありました。本学が調査したところ、当該ホームページで使用しているコンテンツマネージメントシステムを第三者から不正利用されたために、不正アクセスを受け、改ざん・不正なプログラムが書き込まれるという事案が確認されました。不正なプログラムは、当該サーバの仕様上、当該サーバ内の他のサイトの保存領域にもアクセス可能であること、そして当該サーバにある150サイトのうち、2つのサイトにおいて個人情報が保管されていることが判明しました。

2.漏洩の可能性のある個人情報

本学で使用していた氏名やメールアドレス等を含めた個人情報380人分

3.現在までの対応

発覚した7月1日(土)に改ざんされたドメインのホームページを閉鎖しました。対応後、再び、不正アクセスが確認されたため、7月10日(月)に該当サーバ内の全てのホームページを閉鎖しました。これまでのところ、個人情報を悪用された事実は確認されておりません。個人情報が漏洩した可能性がある方に対して、事実関係の説明、謝罪、対応窓口の設置を行いました。

なお、個人情報を取り扱うサイトは、セキュリティが強化された別サーバに移行する等の対策を行い、運営を再開しております。

4.今後の対応

個人情報を収集・保存する目的で使用する本学のサイトについて、点検・確認を実施します。

また、コンテンツマネージメントシステムの利用時には、管理者及び運用責任者を登録制にすることで管理体制を強化します。さらに、全教職員を対象とした情報セキュリティに関する研修を改めて実施して、個人情報の取り扱いについては、これまで以上に気を付けるよう徹底します。