セキュリティニュース

東京都教職員組合 公式サイトで不正転送被害 個人情報漏洩なし パスワード変更呼びかけ

東京都教職員組合は7日、公式サイトと組合員専用サイトにおいて、一時的に不適切なページへ転送される事象が発生していたと発表した。2025年12月23日から24日にかけて発生し、現在は原因箇所の特定とクリーンアップによる応急措置を完了した。個人情報の漏洩は確認されていないという。同組合は組合員専用サイト利用者に対し、二次被害防止のため速やかなパスワード変更を呼びかけている。なお、組合員専用サイトの完全復旧に向けて作業を継続中だ。

12月23日から24日に不正転送

東京都教職員組合によると、公式サイト(tokyouso.jp)および組合員専用サイトにおいて、2025年12月23日から24日にかけて、利用者が不適切なページへ転送される事象が発生した。同組合は12月25日に第1報を公表し、公式サイトの復旧とパスワード変更を呼びかけていた。

同組合は現在、原因箇所の特定と不審ファイルの除去を実施し、サイトの安全性を確認している。ご相談情報や加入情報、組合員情報の漏洩等は一切ないとしている。

暫定復旧 抜本的対策は今後

同組合は現時点でのサイトを「暫定的な復旧状態」と位置づけ、引き続き厳重な監視を継続するとしている。今後、抜本的なセキュリティ強化策の策定を進めていく方針だ。

組合員専用サイトについては、1月7日13時時点で完全復旧に向けて作業中としている。一部機能が制限されている可能性がある。

パスワード変更を強く要請

同組合は、本件に関連した二次被害を防止するため、組合員専用サイト利用者に対し速やかなパスワード変更を要請している。特に初期パスワードのまま利用を継続している利用者については、第三者による不正アクセスのリスクが非常に高まるとして、推測されにくい独自のパスワードへの更新を強く求めている。

パスワード変更は、ログイン後のマイページまたは設定画面から実施できる。

年末年始のタイミングで発生

今回の事象は12月23日から24日、つまりクリスマス直前の年末の時期に発生している。年末年始は多くの組織でセキュリティ担当者が不在となり、監視体制が手薄になる時期だ。攻撃者はこのような時期を狙って攻撃を仕掛けることが多い。

不適切なページへの転送は、ウェブサイトの改ざんやマルウェア感染などにより引き起こされる。利用者がアクセスすると自動的に悪意のあるサイトへ誘導され、フィッシング詐欺やマルウェアのダウンロードを試みられるケースがある。

初期パスワードのリスク

同組合が特に警戒を呼びかけているのは、初期パスワードのまま利用を継続している組合員だ。初期パスワードは多くの場合、一定の規則性があり推測されやすい。また、複数の利用者が同じパターンの初期パスワードを使用している可能性もある。

攻撃者は、一度侵入に成功したサイトの利用者情報を悪用し、初期パスワードや推測しやすいパスワードで不正ログインを試みることがある。パスワードの使い回しも危険性を高める要因だ。

教職員組合サイトの特性

東京都教職員組合のサイトは、組合員向けの情報提供や相談受付などの機能を持つ。組合員専用サイトには、組合員の個人情報や相談内容など機密性の高い情報が含まれている可能性がある。

教育関係の組織は、教職員の個人情報や学校に関する情報を扱うため、セキュリティ侵害が発生した場合の影響は大きい。今回は個人情報の漏洩が確認されなかったことは幸いだったが、サイト改ざんによる信頼性の低下は避けられない。

応急措置から抜本対策へ

同組合は現在の状態を「暫定的な復旧」と表現しており、応急措置にとどまっている認識を示している。不審ファイルの除去は完了したものの、侵入経路の特定や根本的な脆弱性の解消には時間を要する可能性がある。

抜本的なセキュリティ強化策の策定を進めるとしているが、これには脆弱性診断、システムの見直し、セキュリティ監視体制の強化、緊急時対応手順の整備などが含まれると考えられる。

二次被害防止の重要性

同組合がパスワード変更を強く要請しているのは、二次被害を防止するためだ。仮にサイト改ざんの際に利用者情報が窃取されていた場合、攻撃者は入手した情報を使って組合員専用サイトへの不正ログインを試みる可能性がある。

また、組合員のメールアドレスが流出していた場合、フィッシングメールの送付先として悪用されるリスクもある。組合員は今後、東京都教職員組合を名乗る不審なメールに注意が必要だ。

組織サイトのセキュリティ課題

労働組合や業界団体など、営利を目的としない組織のウェブサイトは、企業サイトに比べてセキュリティ投資が十分でない場合がある。しかし、組合員情報など機密性の高い情報を扱うため、高いセキュリティレベルが求められる。

特にCMS(コンテンツ管理システム)の脆弱性やプラグインの更新漏れは、サイト改ざんの主要な原因となる。定期的なシステム更新と脆弱性診断、セキュリティ監視の体制整備が重要だ。

利用者の対応

東京都教職員組合の組合員専用サイトを利用している組合員は、速やかにパスワードを変更する必要がある。推測されにくい強固なパスワードを設定し、他のサービスと同じパスワードを使い回さないことが重要だ。

また、今後東京都教職員組合を名乗るメールやウェブサイトに接する際は、URLやメールアドレスを慎重に確認し、不審な点があれば組合に直接問い合わせることが推奨される。

関連記事

著者紹介:CCSIセキュリティメディア編集部

CCSIセキュリティメディア編集部 サイバーセキュリティメディア、CCSI編集部です。


カテゴリ:
タグ:,