【セキュリティ事件簿#2024-087】北海道大学 工学部ウェブサーバへの不正アクセスによる個人情報流出の可能性について 2024/3/1

北海道大学

北海道大学大学院工学研究院が管理・運営している工学部ウェブサーバが第三者からの不正アクセスを受け、2023年11月6日から11月28日にかけて、工学系部局のみを対象として稼働しているデータベースに保存されていた個人情報について、流出した可能性のあることが2023年11月28日(火)に判明いたしました。

このような事態を発生させ、多くの皆様方にご迷惑とご心配をおかけすることにつきまして、深くお詫び申し上げます。

事案を認識後、直ちに外部からの接続を遮断し、対策を講じるとともに、原因並びに流出可能性のある情報を確認するために、外部機関も含めた慎重な調査を行いました。そのため、事案を認識してから公表までに時間を要しましたが、本件報告以外、技術的な問題がなかったことを確認しております。

調査結果の概要は以下のとおりです。

1.流出した可能性のある情報

(1)2003年度以降に在籍歴(※1)のある学生の個人情報:19,570件
(2)2004年度以降に在籍歴(※2)のある教職員の個人情報:2,890件
(3)2023年10月以降に採用(※3)された非常勤講師の個人情報:1件
(4)2021年度以降に在籍(※4)されていた教職員のご家族の個人情報:1,090件
(5)2023年1月以降にフロンティア応用科学研究棟セミナー室等の予約者の個人情報:3件

※1 工学部・工学研究科・工学院、情報科学研究科・情報科学院、総合化学院
※2 工学研究科・工学研究院、情報科学研究科・情報科学研究院、量子集積エレクトロニクス研究センター、ベンチャービジネスラボラトリー・知識メディアラボラトリー、エネルギー変換マテリアル研究センター、工学系事務部
※3 工学院
※4 工学研究院、情報科学研究院、量子集積エレクトロニクス研究センター、工学系事務部

2.流出可能性判明後の対応

異常感知後、直ちに、攻撃元を含む学外からの通信を遮断し、内部調査を実施するとともに、専門機関による外部調査を実施いたしました。その結果、本件報告以外の技術的問題がなかったことを確認しております。

また、現在は、データベースと切り離した新たなウェブサーバを稼働しております。

3.対象となられた方々へのご連絡

連絡先が確認できた方々に対しましては、順次、電子メールにて、本件に関するご報告と相談窓口に係るご案内を開始しております。

4.再発防止に向けた取り組み

本件を受け、工学研究院で運用している各種サーバ・システムの構成については既に見直しを始めておりますが、運用方法の見直しや定期的に評価・検証を行う体制を整えるなど、本学情報環境推進本部情報セキュリティ対策室と連携して情報セキュリティに対する取り組みを強化してまいります。また、個人情報の取り扱いを含めた情報セキュリティの確保について、改めて構成員に対し周知徹底することで、これまで以上に再発防止に努めてまいります。