Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

大学は事件発生をきちんと公表しているのか?

大学のセキュリティが一般企業に比べて・・・というのは最近も定期的に事件発表があるので知っていたのですが、実は3割がサイバー被害を受けていたと日経に書かれてました。

www.nikkei.com

 国立大学の3割が過去3年間にサイバー攻撃による情報漏洩や業務停止の被害を受けたことが分かった。海外からとみられる高度な「標的型攻撃」が増えており、今春には東京大などが加わる海洋政策に関する政府会議で情報流出が起きた疑いが取材で明らかになった。国立大は日本の研究力の底上げ役を期待されるが、企業などに比べ安全対策は甘い。国を挙げた産官学連携の弱点として国立大が狙われている。

 

 日本年金機構で大量の個人情報が流出した2015年度以降、不正アクセスなどのサイバー攻撃があった」大学は87%に上り、うち34%が情報漏洩などの実被害があったと答えた。特徴的なのは2割強の大学が特定人物を狙う標的型攻撃を受けたとした点だ。
 実際に今年3月、政府の海洋政策に関わる大学教授を狙った攻撃によって、関連情報が漏洩した恐れがある事故が明らかになった。

攻撃では東大や九州工業大などの教授数人が狙われた。攻撃者は政府の有識者会議「総合海洋政策本部」事務局に所属する内閣府職員になりすまし、偽装メールを送信。「意見書の比較につき、情報共有します」との文面で、添付ファイルを開くとマルウエア(悪意あるプログラム)が情報を盗み取る仕組みだった。

(日経記事より引用)

 

◆キタきつねの所感

興味深い調査データです。サイバー攻撃により3割は個人情報漏えい等の実害があった。この数字は一般企業の受けている数字と大きな差分は無いかも知れません。しかし、一部の大きく取り上げられた事件を除いて、大学の事件報道(USBメディア落しました、メール誤送しました・・・を除く)はあまり多く見てきた印象がありません

日経の記事では、主なサイバー攻撃攻撃被害として、東大3.6万件の個人情報漏えい、北海道大学不正アクセス、富山大の原発関連研究成果流出、大阪大学の8万件の個人情報流出/外部サイト改ざん、東大・九州工業大などの標的型メール、島根大・弘前大の個人情報流出、を挙げていますが、もっと事件として公表されなければならなかったものが、出てきてないのではないか?そう感じるのが3割が被害を受けた、とう調査データへの印象です。

もしかすると、マルウェア被害の影響調査を最小限で切り上げて、初期インストールしてしまった(その場合は個人情報が漏洩したかは分からなくなる)ケースも混じっているのかも知れませんが、大学関係者『も』サイバー攻撃で狙われているという現状に対して、事件が正しく発表されない事、あるいは正しく調査されない事によって、他の研究機関も同様な被害を受けてしまっているではないかと危惧します。

特に企業との共同研究などを行う大学の組織は、自分だけでなく、他者の重要資産(特許情報・技術情報)まで影響を受けかねないという事を認識して、セキュリティ対策を再点検すべきではないでしょうか。

 

foxsecurity.hatenablog.com

 

 後出しジャンケンのイラスト

 

更新履歴

  • 2018年9月23日PM(予約投稿)