1/25号 ② 大学院の試験問題・個人情報に学生等がアクセス可能な状態…

セキュリティニュース

ここで紹介するニュースは、ほとんどの場合下記の方法で対策できます。

〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う

ここで紹介するニュースは、ほとんどの場合下記の方法で対策できます。

〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う

ニュース概要

– 1月20日(日本時間)、琉球大学(以下・同大学)より、クラウドサービスの設定不備が原因で、試験問題や個人情報が不正に閲覧可能な状態になっていたと発表されました。

– 対象となるのは、ビデオ会議等のクラウドサービス「Microsoft Teams」上に保存されていた、会議資料・大学院入試関係資料等担当者のみが共有すべきファイル304件で、同大学学生・職員等901名分の個人情報(氏名・メールアドレス・成績情報等)が含まれていたとしています。

– 少なくとも2020年4月以降、同大学からアカウントが付与されていた任意の学生・職員が情報を閲覧可能な状態にあったとしており、2022年10月までに設定変更を行ったとしています。

AUSからの所感

アクセス制限がなく、ディレクトリリストの表示で容易にわかるような場所にフォームから入力されたデータを保存したり、データベースサーバーのポートが外部に公開されていたりして、認証もなしに全くの第三者が機密情報にアクセス可能な状態にあった例は昔から枚挙にいとまがありません。

メールではなくGoogle Drive・OneDrive・Dropbox等オンラインストレージやSlack等ビジネスチャットでデータを共有する場面も増えている今日にあって、データの置き場所が推測されにくいURLであるとしても決して油断せず、必ずアクセス制限を行い、可能であれば非ログイン状態あるいは権限の低いテスト用アカウントで実際にアクセスしてチェックすることが重要です。