【セキュリティ事件簿#2023-424】東京大学大学院総合文化研究科・教養学部への不正アクセスによる情報流出について


東京大学大学院総合文化研究科・教養学部(以下、「当該部局」という)が保有するPCが、標的型攻撃メールによりマルウェアに感染し、調査の結果、PC内の情報窃取の形跡が発見され、情報漏洩した可能性があることが判明いたしました。

上記判明後、漏洩した可能性のある情報の調査を慎重に進めてまいりました。調査結果の概要は以下のとおりです。 ご関係の皆さまには多大なご迷惑とご心配をお掛けすることになり、深くお詫び申し上げます。

本学では、今回の事態を重く受け止め、より一層、情報管理体制の強化や情報セキュリティ対策の適切な管理に努めて参ります。

1.本件発生の経緯

2023年1月18日、標的型攻撃メールの事案を調査していた専門機関からの指摘を受け、当該部局が保有するPC(当該部局所属の教員1名(以下、「利用者」という)が在宅勤務で使用していたもの)が2022年7月19日に受信した標的型攻撃メールによりマルウェアに感染していたことが発覚いたしました。

感染発覚後、当該PCを隔離保全し、同機関ならびに別の専門機関により、PC内の情報漏洩等に関する調査を行いました。調査の結果、2023年5月23日にPC内の情報窃取の形跡が発見され、以下の情報が漏洩した可能性があることが判明いたしました。

2.漏洩した可能性のある情報

(1) 本学教職員、学生、卒業生等の情報(氏名、所属、身分、学年、教職員番号、学生証番号、生年月日、性別、住所、電話番号、メールアドレス、学歴、職歴等のうち1つ以上の情報が含まれるもの):2,409件

(2) 利用者が在籍する学会会員、学会主催イベント等参加者の情報(氏名、所属、身分、生年月日、性別、住所、電話番号、メールアドレス、学歴・職歴等のうち1つ以上の情報が含まれるもの):1,082件

(3) 利用者が他大学で非常勤講師等として担当する授業の受講学生の情報(氏名、所属・学年、学生証番号、生年月日、性別、住所、電話番号、メールアドレス等のうち1つ以上の情報が含まれるもの):796件

(4) 過去の当該部局の学生成績・評価、過去の試験問題:24件

(5) 当該部局所属教員の評価等:30件

3.現在の対応、再発防止に向けた取組み

警察に捜査を依頼すると共に、漏洩した可能性のある情報について、メールアドレスを確認できた方々に対して、当該部局より、謝罪及び経緯説明の連絡を始めており、本件により被害が発生した場合はご連絡いただくよう案内しておりますが、現時点では二次的被害等の情報は確認されておりません。

本学では、情報漏洩したことと併せ、容易にマルウェアに感染したことを極めて重大な事態と認識し、個人情報の取扱いを含む情報セキュリティの確保に関して、本学情報セキュリティ・ポリシーに沿った対応を確実に実施できるよう、全構成員への指導、徹底をさらに強化し、対策に努めてまいります。

リリース文アーカイブ