Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

マラ工科大学の個人情報漏洩事件

マレーシアのマラ工科大学の100万件以上の学生(卒業生)の個人情報がオンラインにリークされた様です。

www.lowyat.net

 

2000年から2018年の間にTeknologi Mara大学(UiTM)でさまざまなコースに登録した学生の合計1,164,540件のレコードが違反し、オンラインでリークされました。

リークされたデータには、Shah AlamのUiTMメインキャンパスからの学生の詳細な記録と、全国の13の自治州のキャンパスが含まれています。また、このデータ侵害の影響を受けるのは、外部の大学でUiTM認定コースを受講した学生です。 Teknologi Perak。

違反データの個人情報には、受講者ID、受講者名、MyKAD番号、住所、Eメールアドレス、キャンパスコード、キャンパス名、プログラムコード、コースレベル、およびハンドフォン番号が含まれます。

調査したデータダンプに基づいて、データベースがUiTMのオンラインサービスのいずれにも由来していないことはほぼ確実であり、オンラインセキュリティの欠陥を悪用することによって得られた可能性を排除しています。

匿名を希望する私たちの情報筋によると、データ侵害は2018年2月から3月の間に発生し、UiTMはその侵害を認識していますがまだ公式の声明を発表していないという。

(Lowyat.net記事より引用)※機械翻訳

 

◆キタきつねの所感

100万件以上の学生と卒業生のデータの漏洩という記事ですが、記事に出ているサンプルデータを見る限り、内部からデータ漏洩した可能性が高いようです。

学校側は公式に漏洩を発表(認めて)ない様ですが、学籍番号、氏名、住所、メール、携帯番号・・・学校特有のコードも入っていますので、元データと突き合わせれば、漏洩があったかは容易だと思いますので、恐らく学校側としては既に連絡を受けていたのに公表しないのは、事件を隠蔽したかったのだと思います。

20年近くの膨大な学生(卒業生)データは、全てが最新という訳ではないでしょうが、卒業しても個人情報の更新がされている率は、一般企業などより高いかと思います。そうした意味では(投資や転職引き抜き・・・等々)個人情報としては価値があるものだと思います。

 

ここまでならば普通の記事なのですが、問題だと思うのが、、、オンライン侵害(ハッキング)ではなさそうだという点。

 

学内システムがマルウェアに侵されて・・・という可能性は残っているのかも知れませんが、内部犯行の可能性が高いとなると、18年分の100万件以上のデータにアクセスが出来る権限を持つ職員、あるいはシステムメンテナンス(更新)のベンダー、またはバックアップデータの管理が脆弱・・といった所なのかと思います。

 

学校の基幹DBから学生情報がごっそり漏洩する、あまり聞いた事が無い事件ではありますが、そうした事が起こりえるかも知れない。ゼロ・トラストの思想で日本の教育機関も自社のセキュリティを改めて見直す方が良いかも知れません。

 

 

 

大学ã®ã¤ã©ã¹ã

 

更新履歴

  • 2019年1月26日PM(予約投稿)