東北学院大学は、2024年9月7日(土)に発生した不正アクセスおよびランサムウェア感染による個人情報の漏洩について公表しました。被害の概要と対応、漏洩した個人情報の詳細は以下の通りです。
事件の概要
2024年9月7日(土)、職員が使用する業務用PCがランサムウェアに感染し、共有ドライブから業務データが不正にダウンロードされました。これにより、学内外の個人情報が漏洩し、PCと関連データが利用不能となりました。その後、2024年9月9日(月)に事態を確認し、被害の拡大を防ぐためネットワークを遮断し、職員のアカウント停止措置を実施しました。
不正アクセスの原因
被害PCは学外からアクセス可能なネットワークに設置されており、外部からの攻撃者によりユーザーIDとパスワードが窃取され、侵入を許してしまったと見られています。
漏洩した個人情報の詳細
(1) 学外者の情報
- 対象者:システム構築・運用に関わる外部企業(システム関連企業)関係者
- 漏洩データ項目:氏名、電話番号、メールアドレスなど
- 件数:41社119名
(2) 大学学生の情報
- 対象者:東北学院大学の学部学生および卒業生
- 漏洩データ項目:
- 学生番号、成績情報(2023年度開講の1科目)、メールアドレス、氏名
- リスト形式:学生番号+成績(1科目)、メールアドレスのみ、学生番号+氏名+メールアドレス、メールアドレス+氏名
- ※成績情報と個人情報が直接紐づくリストは含まれません。
- 件数:合計3,490名(うち成績情報漏洩対象者3,071名)
(3) 東北学院大学教職員の情報
- 対象者:学校法人東北学院の法人事務局および設置学校の教職員
- 漏洩データ項目:教職員番号、氏名、メールアドレスの一部
- 漏洩組み合わせ:教職員番号・氏名、過去在籍者の情報など
- 件数:合計3,476件
今回の漏洩事案を受け、大学ではセキュリティ対策の強化とともに、今後の再発防止に向けた対応を進めているとのことです。
