京大、全職員と学生の個人情報を誤って閲覧可能に システム改修時のミスに半年間気付かず

京都大学は1月19日までに、全教職員と学生の計4万人の氏名やメールアドレス、学内システムにログインするためのIDとパスワードが外部から閲覧できる状態だったと発表した。2020年6月に学内の情報システムを改修した際のミスが原因で、公開状態のまま約半年間放置されていた。現時点で、個人情報の外部流出や不正利用の報告は入っていないという。 システムを改修した際に施工業者が個人情報へのアクセス制限をかけ忘れていた。同大のシステム担当者もチェックを怠っていたという。職員が年明け後の1月4日にミスを発見し、設定を変更した。これを受け、大学側は18日までにパスワードの変更を求めるメールを送信した。 大学側は「チェックができていなかった。情報セキュリティ対策の整備を急ぎたい」とした上で、「現時点で情報の悪用は確認されていないが、フィッシングメールやスパムメールが届いた際は大学の窓口に連絡してほしい」と話して

[saikyo_tongaricorn]

紙とFAX！

[greenbow]

どういうことなの “個人情報へのアクセス制限をかけ忘れていた”

[fukuroiri]

アクセス権の動作チェックには時間がかかる。ミスがなければチェック作業は結果的に時間の無駄だ。チェックに時間をかけても経営者は高い評価をしない。経営者がITに暗い組織なら、必ずセキュリティ事故が起きる。

[paradisemaker]

プロセス的に想像し難い "システムを改修した際に施工業者が個人情報へのアクセス制限をかけ忘れていた"

[daybeforeyesterday]

うーむ

[toitoitoi2718]

生パスワードが閲覧可能な状態だったとな

[deep_one]

パスワードファイル？／コメントを見て。ハッシュ化されていてもレインボー攻撃にさらされるからなぁ。あと、ブルートフォースが無制限で出来るようになる。

[latena]

しかもパスワードハッシュ化してないんかい

[yooks]

個人情報が閲覧可能だったけど「個人情報の外部流出はない」って言われると違和感ある。ああ、アクセスされてなかったとか、まとめてごっそりクロールされてなかったってことなのかな。

[Fushihara]

この件はどうか知らんが、URLでアクセス制限するシステムは危険。せめてアクセスカウンターでもあれば