2023/12/10

【セキュリティ事件簿#2023-443】東京大学情報基盤センター管理のサーバにおけるユーザ情報の一部が、学内端末の一部から閲覧可能となっていた件について


東京大学情報基盤センターが管理するサーバの設定ミスにより、本学構成員向けGoogle Workspace for Educationのパスワードハッシュ値(*)を含む利用者情報(†)が、学内に設置された、学内利用者用の端末の画面で閲覧できる状態であったことが判明しました。

現在はその設定を修正し、上記の状態は解消しています。利用者情報が実際に閲覧されたかどうかは不明で、現時点ではこれによる不正ログインなどの被害も確認されておりません。閲覧されたとしてもパスワードハッシュ値から直ちにパスワードがわかるわけではありませんが、以降の被害を防ぐために本日時点で有効なアカウントを有する全ての利用者に連絡を行い、パスワードの変更作業を行なうこととしました。

閲覧可能であった情報が万一悪用される可能性を減らすため、これ以上の詳細については全ての利用者のパスワード変更作業が行われた後に、利用者に対して開示する予定です。

このような事態が発生し関係の皆様には多大なご迷惑をおかけすることになりましたことを、深くお詫び申し上げます。

今後、システム構築時および構成変更時の設定内容の確認を徹底するなど、再発防止に努めてまいります。

(*) パスワードハッシュ値: パスワードを暗号化したもので、ハッシュ値からもとのパスワードを復元することは、パスワードの長さや複雑さにもよりますが、多くの計算を要します

(†) 端末の画面で閲覧可能であった情報
● 名前
● Google のEmailアドレス
● 大学の他のサービスで用いる共通ID
● 学生証番号
● パスワードのハッシュ値
● その他管理上必要な, 個人の属性と直接結びつかない情報