セキュリティニュース

東京都立大学 Googleアカウント不正アクセスで第2報 流出可能性は計423件に 入試関連情報249件含む

東京都公立大学法人は8日、東京都立大学経営学研究科の教員が個人で取得したGoogleアカウントへの不正アクセスに関する第2報を発表した。流出した可能性がある個人情報は、経済経営学部・経営学研究科主催のイベント申込者等180件(実数)、経営学研究科の入学予定者向けプログラム参加者および入試合格者249件の計423件と判明した。当該教員が過去に送受信したメールの情報も流出した可能性がある。7日の第1報では「約180件」としていたが、詳細な調査により入試関連情報も含まれることが明らかになった。

不正アクセスによる個人情報流出の可能性に関するお詫びとお知らせ(第二報)|東京都公立大学法人より引用

第2報で入試関連情報が追加判明

同法人は7日に第1報を発表し、イベント申込者等約180件の個人情報が流出した可能性があるとしていた。8日の第2報では、さらに詳細な調査により、経営学研究科の入学予定者向けプログラム参加者および入試合格者に係る情報249件も流出した可能性があることが判明した。

ただし、イベント申込者180件と入試関連情報249件のうち6件は重複しているため、実際の流出可能性がある人数は423件(実数)となる。この423件に加えて、当該教員が過去に送受信したメールに係る情報(メールアドレス、本文、添付資料等)も流出した可能性があるという。

イベント申込者等180件の詳細

流出した可能性があるイベント申込者等の情報は、2017年度から2024年度にかけて開催された経済経営学部・経営学研究科主催のイベントに関するもので、実数は180件だ。

具体的には、2017年度の外部検定試験受講対策講座受講申込者(本学学生のみ)57件、2023年度の経営学研究科経済学プログラムシンポジウム参加申込者53件、2023年度の経営学研究科博士後期課程入試説明会参加申込者21件、2024年度の経営学研究科経済学プログラム入試説明会参加申込者52件、2024年度の経営学研究科経済学プログラム入試説明会アンケート回答者28件となっている。

含まれている個人情報は、氏名、学修番号、所属、学年、メールアドレス、住所、電話番号、勤務先、職業、年代などだ。対象者によっては、一部の個人情報が含まれていない場合もあるという。

入試関連情報249件の詳細

今回の第2報で新たに判明した入試関連情報は、2020年度から2025年度にかけての経営学研究科入学予定者向けプログラム参加者および入試合格者の情報249件だ。

内訳は、2020年度入学予定者向けプログラム参加者28件、2021年度入学予定者向けプログラム参加者33件、2022年度入試合格者44件、2023年度入試合格者51件、2024年度入試合格者50件、2025年度入試合格者43件となっている。2020年度と2021年度は「入学予定者向けプログラム参加者」、2022年度以降は「入試合格者」という区分だが、いずれも入試を経て入学が決定した人々の情報だ。

含まれている個人情報は、氏名、学修番号、所属プログラム、勤務先、メールアドレス、住所などだ。こちらも対象者によっては、一部の個人情報が含まれていない場合があるという。

過去のメール情報も流出の可能性

個人情報ファイルとして管理されていたイベント申込者情報と入試合格者情報に加えて、当該教員が過去に送受信したメールに係る情報(メールアドレス、本文、添付資料等)も流出した可能性がある。

Googleアカウントが不正アクセスを受けた場合、Gmailの内容も攻撃者に閲覧される可能性が高い。メール内容には、学術的な議論、研究情報、学内の業務連絡、個人的なやり取りなど、さまざまな情報が含まれていた可能性がある。

12月2日のフィッシングメールから発覚まで

今回の事案の経緯は、2025年12月2日、海外の研究者のアカウントから受信したフィッシングメールの誘導により、同大教員が個人で取得したGoogleアカウント情報を入力し、アカウント情報が窃取されたことに始まる。

約1カ月後の2026年1月7日、当該教員のアカウントから複数の宛先へ、ドキュメント共有を装うフィッシングメールが発信された。受信者からの連絡により不正アクセスが発覚した。この時点で同法人は第1報を発表し、イベント申込者等約180件の個人情報が流出した可能性があるとしていた。

8日の第2報では、さらに詳細な調査により、入学予定者向けプログラム参加者および入試合格者の情報も含まれることが判明し、流出可能性のある件数が423件に増加した。

現時点で実際の流出や被害なし

同法人は、現時点では個人情報流出や、それに伴う被害等の連絡は受けていないとしている。ただし、情報が流出した可能性は否定できず、引き続き本事案に関する情報収集に努めるという。

実際に第三者への流出などの事実が確認された場合は、該当者へ速やかに周知するとしている。

該当者への説明と謝罪を実施

同法人は、該当する関係者には本件に関する説明と謝罪を行っているとしている。イベント申込者、入学予定者向けプログラム参加者、入試合格者、メールでやり取りをした相手など、影響を受ける可能性のある人々に個別に連絡を取っているとみられる。

特に入試関連情報の対象者については、現在在学中の学生や卒業生も含まれる可能性があり、広範囲にわたる対応が必要となる。

全学的な再発防止策を実施

同法人は、本学教職員に対して、教育研究活動に関する情報の取扱い、個人情報及びアカウント情報の管理徹底について注意喚起を行ったという。今後も、より個人情報管理が徹底されるよう、全学的な検討を行い、対策を講じていくとしている。

具体的な対策としては、個人Googleアカウントでの業務情報管理の禁止、大学公式アカウントの使用徹底、多要素認証の必須化、フィッシングメール対策の教育強化などが考えられる。

個人アカウントでの業務情報管理の問題

今回の事案で最も問題視されるのは、教員が個人で取得したGoogleアカウントで、大学の業務情報(イベント申込者情報、入学予定者向けプログラム参加者情報、入試合格者情報)を管理していた点だ。

個人アカウントの利用は、大学の組織的なセキュリティ対策が及びにくく、多要素認証の未設定、パスワード管理の不徹底、セキュリティアップデートの遅れなどのリスクがある。また、不正アクセスの早期検知も困難になる。

入試関連情報の流出リスク

今回、入学予定者向けプログラム参加者および入試合格者の情報が流出した可能性があることが判明したことで、事案の深刻度が増した。これらの情報には、氏名、住所、勤務先など詳細な個人情報が含まれており、悪用されるリスクが高い。

また、これらの情報から、その人が東京都立大学経営学研究科の学生または修了生であることが特定される。こうした情報は、標的型攻撃やなりすまし詐欺に利用される可能性がある。

6年分の入試関連情報

流出した可能性のある入試関連情報は、2020年度から2025年度まで6年分にわたる。この期間の対象者には、現在在学中の学生、最近修了した卒業生、社会人学生として在学していた人など、さまざまな状況の人が含まれる。

経営学研究科は社会人学生も多く受け入れており、勤務先情報も含まれることから、職場への影響も懸念される。

メール内容の流出リスク

個人情報ファイルとして整理された情報に加えて、当該教員が過去に送受信したメールの内容も流出した可能性がある。メールには、上記の個人情報以外にも、学術的な議論、研究の進捗状況、未発表の研究成果、学内の業務連絡、他の教員や学生との個人的なやり取りなど、多様な情報が含まれていた可能性がある。

こうした情報の流出は、研究活動や教育活動に影響を与える可能性もある。

約1カ月の空白期間中の動向

アカウント情報が窃取された12月2日から不正アクセスが発覚した1月7日まで、約1カ月の空白期間がある。この間、攻撃者はアカウント内の情報を閲覧したり、さらなる攻撃の準備を進めたりしていた可能性が高い。

一般的に、攻撃者はアカウントを乗っ取った後、すぐには大規模な攻撃を行わず、まずアカウント内の情報を収集し、価値のある情報を特定してから次の行動に移る。今回も、イベント申込者情報や入試関連情報のファイルを発見し、ダウンロードしていた可能性がある。

海外研究者アカウントからの攻撃の連鎖

今回、海外の研究者のアカウントからフィッシングメールが送信されたという点は、当該研究者のアカウントも既に侵害されていたことを意味する。攻撃者は最初の標的のアカウントを乗っ取り、そのアカウントの連絡先リストを使って次々と攻撃を拡大する。

研究者同士のメールのやり取りは信頼性が高いため、フィッシングメールであっても疑われにくい。こうした連鎖的な攻撃への対策が、学術機関全体の課題となっている。

大学におけるアカウント管理の課題

大学では教員の裁量が大きく、業務の進め方や情報管理の方法も個人に委ねられることが多い。研究活動の自由を尊重する文化もあり、組織的なセキュリティルールの徹底が困難な面がある。

一方で、今回のように入試関連情報など重要な個人情報を扱う場合は、組織としての統一的な管理が必要だ。個人アカウントではなく、大学が提供する公式アカウントを使用し、適切なセキュリティ対策を講じることが求められる。

東京都立大学について

東京都立大学は東京都八王子市に本部を置く公立大学で、東京都公立大学法人が運営する。経済経営学部・経営学研究科は同大の主要な学部・研究科の一つで、経済学や経営学の教育・研究を行っている。

今回の事案は、同学部・研究科が開催したイベントの申込者情報や、同研究科の入学予定者向けプログラム参加者および入試合格者の情報が流出した可能性があるもので、同学部・研究科の信頼性に影響を与える可能性がある。適切な情報管理と再発防止が求められる。

参考:東京都立大学 教員の個人Googleアカウント不正アクセス イベント申込者180件の個人情報流出か|CCSI
URL: https://ccsi.jp/5737/

関連記事

著者紹介:CCSIセキュリティメディア編集部

CCSIセキュリティメディア編集部 サイバーセキュリティメディア、CCSI編集部です。


カテゴリ:
タグ:,