金沢大学の教員が海外出張中にノートパソコンを盗難被害にあったニュースが気になりました。
www.security-next.com
金沢大学は、教員が海外で学生や教職員、学外関係者の個人情報が保存されたノートパソコンを盗まれる被害に遭ったことを明らかにした。
同大によれば、2月29日に同大教員が出張先であるスイスのローザンヌにおいて、鞄を盗まれる盗難被害に遭ったもの。現地の警察に届けたが、発見されていない。
鞄にはノートパソコンが入っており、内部には学生や教職員、学外関係者など個人情報2万1945件が保存されていた可能性がある。氏名や住所、メールアドレス、所属、学籍番号などのほか、一部には電話番号や経歴、顔写真、電話番号、成績、審査結果なども含まれる。
また2010年度から2019年度にかけて同教員が担当した授業70科目を受講した学生889人の氏名や所属、学年、メールアドレス、成績の元データなども端末内部に保存されていた。
さらにメールデータのなかに、学生や教職員、学外関係者の個人情報22万6392件が保存されていた可能性がある。
個人情報は、出張に必要なものではなく、学外への持ち出しにあたり、管理者の許可を得ていなかったという。またパスワードの設定などは行われていなかったという。
(Security Next記事より引用)
公式発表
キタきつねの所感
Security Nextではさらっと書いていますが、石川テレビでは、もう少し厳しめに「半年公表せず」と報じています。
私も、いわゆるフォレンジック調査に何故半年もかかったのだろうか?という点が気になりました。
www.fnn.jp
金沢大学は、今回の事件を受けての公式発表で、「紛失したノートパソコンに保存されていた可能性のある個⼈情報」を比較的詳細に発表しています。
一部抜粋しますが、下記を見ると細かさが分かるのではないでしょうか。
※影響を受けたノートパソコンは当然紛失していて調べられませんので、バックアップファイルから調査をした様です。
インシデント発表(透明性)という点では、非常に素晴らしいと思いますが、これだけ細かく調査している事を考えると、かなり時間がかかった事が予想されます。
外部のフォレンジック調査会社を依頼するとかなりの費用がかかりそうですが、今回被害を受けた教員の方は、「理工研究域」であったとされている事から、内部調査だった(=ので半年かかった)と推測します。
※国立大学なので外部のフォレンジック調査に頼む臨時予算が取れない事もあるだろうと思いますが、大学側の公式発表に個人情報総括保護責任者として名前が出ていた理事の方の略歴を見ると、どう見てもIT系では無いので、恐らくITに詳しい教員に依頼して(本業の片手間に)内部調査をしていたので、時間がかかったのではないでしょうか。
今回の公式発表はかなり丁寧に流出した可能性がある情報の詳細が書かかれていますが、よく見てみると大事な部分がいくつか書かれていない様に見受けられます。
※広報上の「意図的に書かない」方針である可能性もあります
例えば、下記の部分です。
1.発生状況
令和2年2月29日,スイスのローザンヌにおいて,業務のため出張していた本学理工研究域の教員が,持参したノートパソコンが入ったカバン一式の盗難に遭いました。このノートパソコンには,本学教員・学生及び学外の方の個人情報が保存されていました。
(公式発表より引用)
出張でノートパソコンを持っていくのは普通の事だと思いますが、カバン一式を盗難にあった「場所」が書かれていません。つまりどの程度の過失責任が当該教員に合ったのか、この内容だけでは分からないのです。
観光地に遊びに行っている際にバイクですれ違い様に盗まれた、レンタカーで車上荒らし、あるいは空港で置き引きに遭った、ホテルで部屋のカギを掛けずに外出した、レストランで電話中に目を離している隙に盗られた、あるいは学会会合で休憩時間中に盗られた等々、色々と想像できます。
おそらく書きたくなかったのかとは思いますが、「盗難の中身」がないと海外出張される方への気づきにはなりません。
さらに、一番気になったのが、流出した可能性があるデータには、個人情報が保存してあったとされていますが、他にも機密性の高い情報が保存されていなかったのか?という点です。
当該教員の方が、スイスのローザンヌに行く海外出張となると、業務は、国際会議(学会)への出席だったのかなと思うのですが、例えば学会で発表する資料や、大学での研究情報、国や自治体との共同研究といった機微なデータファイルが、盗難被害にあったノートパソコンに保存されていた可能性を強く感じます。
しかし、この公式発表のリスト(紛失したノートパソコンに保存されていた可能性のある個⼈情報)にはそうした内容は一切書かれていません。あくまで個人情報が漏えいした、とだけ書かれています。
当然の事ながら、当該のノートパソコンが普段から使っているメインの端末ではなく、出張用端末であって、そうした情報が保存されてない可能性も考えられますが、リストを見ると、そうでは無い可能性を感じます。
そう感じたのは、以下の部分です。
本学学⽣に関するもの(889 名分)
・2010 年度から 2019 年度にかけて当該教員が担当した授業 70 科⽬の受講学⽣の⽒名,所属,学年,メールアドレス,成績をつけるための元データ
(公式発表のリストから引用)
授業の成績を出張中につけるために、2020年分(あるいは直近の2019年分)のデータを出張用のノートパソコンに保存していたというならば分からなくもないのですが、過去に担当していた授業受講者データや成績元データ10年分を、出張端末で持ち運ぶ必要性はないはずです。
推測になりますが、この端末は普段から当該教員が使用していたメイン端末(の1つ)だったのではないでしょうか。
この推測が合っているとすれば、この端末の中には、研究データ、大学内秘の資料、研究で提携する企業や自治体等の情報など、個人情報の範疇ではすまない、機微な情報が多数漏えいした可能性があったと考えられます。
単なる物取りの犯行であれば、高価なノートパソコンをフォーマットして盗難品として売られてしまうだけで済むかも知れませんが、仮に犯人が、大学の教員の端末であり、パスワードのかかってなかった端末に、機微な情報が保存されている事に気づいたとしたら、現時点で被害がなくても、機密データがリークサイト(DarkWeb)で販売される事や、流出した可能性がある個人情報を使って、例えば政府/自治体、研究先企業等、別な標的型攻撃に使われる、そんな危険性も感じます。
余談です。金沢大学の今後の対応策には、全教職員に教育すると書かれています。
しかし既にあるルールを違反した教員がインシデントを起こした事を考えると、教育徹底だけでは不十分な気がします。
教職員の取り扱う端末を臨時点検して、少なくてもパソコン本体に暗号化/パスワード保護が十分かどうかチェックする必要があるのではないでしょうか。
半年にも及ぶ内部調査の人件費を考えれば、臨時検査や、暗号機能付のUSBメモリの強制配布(利用強制)の費用は十分払えるのではないでしょうか。
これらの個人情報は,出張の業務に必要なものではありませんでした。また,学外への持ち出しに当たり保護管理者の許可を得ず,パスワード設定等の対策も施されていませんでした。
(中略)
4.今後の対応
本学の全教職員に対し,通知文書や研修などにより,業務上の目的以外で個人情報を外部に持ち出さないこと,やむを得ず学外に個人情報を持ち出す場合には,適切な許可を受けた上で,パソコン本体はもちろん,保存ファイルの暗号化やパスワード保護を施し,セキュリティ機能のついたUSBメモリやHDD等の電子媒体に保存することを徹底し,ルールに従い個人情報を適切に管理するよう,本学教職員の個人情報管理に対する意識の更なる向上に取り組んでまいります。
(公式発表より引用)
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
