パスワードを忘れた? アカウント作成
11878142 story
情報漏洩

首都大学東京で学内向けNASが外部に公開されていたことが明らかに、学生ら5万1000人分の個人情報流出の可能性も 92

ストーリー by hylom
よくありそうなトラブルですが 部門より
fuminoli 曰く、

首都大学東京が、同大学の学生の成績や入学予定者、教員の氏名・住所・メールアドレスなどについて流出した可能性があると発表しました。原因は学内向けNASのFTP共有が有効になっていたためで、IDやパスワードなしに外部からFTPでのアクセスが可能だったとのこと(ITmedia)。

首都大学東京のプレスリリースPDFによると、閲覧可能だったデータは「概ね、延べ5万1千人」分だったようです。また、「現在まで情報が悪用されたとの報告や被害の発生については確認されていない」とのこと。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 首都大学東京の情報流出の件で公開質問状送った [hatenablog.com] によると、首都大学東京の学生が、この件について、「公開質問状」 を送ったようです。

    無視せずに、誠意をもって回答していただきたいと思うので、拡散の為、ここに転載させていただきます。

    報道等でも公にされていますが,この度の情報流出の件に関しまして質問させて頂きます.ご回答の方よろしくお願いします.
    質問は以下のとおりです.

    1. 外部から FTP でアクセス可能という事だったが,これは anonymous FTP だったのか
    2. なぜ外部からのアクセスにも関わらずファイルへのアクセス権限があったのか
    3. 作業者,つまり NAS に格納されているファイルを使って業務を行う人間は,システムがこのような状態,つまり外部から自由にアクセス可能になっていることを知っていて使っていたのか.あるいは知らずに使っていたのか.
    4. NAS の設置者及び管理者は誰か.
    5. 作業者,つまり NAS に格納されているファイルを使って業務を行う人間は学外から作業する為にこの NAS にアクセスして作業していたのか
    6. 公立大学法人首都大学東京における個人情報の適正な管理に関する規程 (http://www.houjin-tmu.ac.jp/extra/download.html?d=assets/files/download/compliance/kojinjyohou_kanri.pdf) の第3条3項には「情報システムを所管するシステム管理者は、情報システムにおける個人情報の適切な管理を図るために、情報システムにおけるセキュリティシステムの整備やアクセス制限等の管理運用上の取扱い並びに電子機器やデータ保存媒体の管理・取扱い等について、必要な措置を講ずるものとする。」とある.本件からはこれが満たされているようには見えないがなぜか.
    7. 謝罪文 (http://www.tmu.ac.jp/news/topics/8447.html?d=assets/files/download/news/press_150119_2.pdf) に「所管する大学及び高等専門学校における個人情報の適切な管理について、研修等を通じて教職員の意識の啓発を図ってまいりました」とあるが,具体的にどのような研修を行っていたのか.
    8. 謝罪文 (http://www.tmu.ac.jp/news/topics/8447.html?d=assets/files/download/news/press_150119_2.pdf) に「教職員に対し情報セキュリティの教育・指導を徹底してまいります」とあるが具体的にはどのような対応をとるつもりなのか.
    9. 今後,**具体的に** どのような再発防止策をとるつもりなのか.
    10. NAS の FTP 共有を無効にして当座の対策としたとのことだが (参照: http://www.itmedia.co.jp/news/articles/1501/19/news149.html [itmedia.co.jp]),問題の NAS はまだ外部につながっているのか.
    11. 本件で損害を被った人間に対する補償・補填等はあるのか.無いとすればそれはなぜか.

    以上です.
    なお,本質問は公開質問となっております.
    インターネット上で同様の書面を公開しておりますので留意下さい.

    よろしくお願いします.

  • by Anonymous Coward on 2015年01月20日 15時31分 (#2746865)

    今時、大学全体のファイヤウオールもないのかよと調べてみたら、南大沢キャンパスだけはファイヤウオールありでそのほかは無防備みたい。ほかのキャンパスの事務から漏れたってことなのかな?
    http://www.comp.tmu.ac.jp/tmuner/shinsei/fw-thru.html [tmu.ac.jp]

    • by Anonymous Coward

      外部というのが具体的にどういう意味かによるかと。

      NASなんてグローバルIP持たせる必要があるものでもないし、外部(大学外)からのアクセスができるようにする必要もないものかと。
      文面読むと、キャンパス内の学生からも見えちゃってたとも読めるし
      そうだとすると、学内のネットへのアクセスがどうなっているのかにもよるかな。
      今時野良WiFiで学内に自由にアクセスできるって少ないだろうし(イーサネットの口に差し込めば見えちゃうとかはありそうだけど(^^;)

      • by Anonymous Coward on 2015年01月20日 16時48分 (#2746938)

        昨日のニュースでは一般の人からの通報と言ってたはずなので調べてみた。

        NHKニュース [nhk.or.jp]
        >教務課のパソコンの情報記録装置が、インターネットを通じて外部からアクセスできる状態になっていた

        やっぱり学外だね。
        で教務課ってことだけど、教務課は南大沢キャンパスにあるようだ。
        ということはファイヤウオールにわざわざ穴を開けるように申請して無防備なNASを置いたということだ。

        ありそうな話としては、.過去に何か外部に公開するサーバを置いてあったが、リプレースの際に無防備なNASに置き換わったかな。

        親コメント
        • by Anonymous Coward on 2015年01月20日 17時05分 (#2746954)

          セキュリティ担当者はおろか火災警報が鳴っても警備員もそのデータの置いてある部屋に入れてもらえない程に極めて機密性の高いデータを扱ってるって事で強固なファイヤーウォールを構築したのに、外出先からアクセス出来ないとはけしからん、アクセスするのに一々認証とか面倒だから開放しろ、とか宣う先生方もいらっしゃいましてねぇ…

          親コメント
        • by Anonymous Coward on 2015年01月20日 17時59分 (#2746988)

          元々石原が公約ぶち上げた結果、都立大に他3校をくっつけて突貫工事的に出来た変な名前の大学って設立経緯でしょ。
          別々の大学を急いでくっつける際に大学間の事務情報統合をインターネット経由で中途半端にやった時の穴じゃないかと。

          準備期間が1年位しかなかったようだし、目配りしきれなかったのかもね。

          親コメント
        • by miishika (12648) on 2015年01月20日 20時55分 (#2747080)
          あそこがシステム構築に携わっていたら、通報した一般人を告訴して一件落着にするかもしれない。
          親コメント
          • by matsu03 (34226) on 2015年01月21日 3時29分 (#2747247)

            最近大学職員の多くを臨時雇いにしたり、派遣社員にしたり、外部委託するようになって、急にこういう事件が増えましたね。正規の職員以外に任せてよい領域とだめな領域の区別がものすごくいい加減になっている。どう考えても(ftpdの仕組みを考えても)、この事件はうっかりミスではなく、意図的に行われたものだと思います。大学職員の勤務体系、業務のあり方がもうすこしまともになるように、この事件を学内でもしっかり追求してほしいです。

            親コメント
  • 首都大学東京は問題点が何も理解できていないようです.

    今回の場合,最初にすべき対処は
    NASをインターネットから隔離することだと思います

    しかしプレスリリースによると,彼らが行った対処は
    > 直ちに、外部からアクセスできない状態(FTP共有を無効) とした
    とのことです.

    この文面だと,最悪,NASはインターネットに繋がったままで
    FTP以外のプロトコルはまだ使えそうな雰囲気です

    大学,しかも情報系の学科を持つ組織が
    NASの運用さえできず,しかもこんな劣悪なプレスリリースを出すようでは
    ダメですね

    • by Anonymous Coward
      このようなリリースで関係者が安心するとは思えませんが、勝手な憶測で断罪してもね、という感じ。

      >まだ使えそうな雰囲気です

      雰囲気を根拠にダメ出しってのも凄いな
      • by Anonymous Coward

        実際にアクセスして確かめてみろとでも?

        仮に、実際には適切な対処が行われているのだとしても、
        こんなの書いちゃう時点で駄目出しされるには十分な根拠だと思うな。

        • > 実際にアクセスして確かめてみろとでも?
          >
          > 仮に、実際には適切な対処が行われているのだとしても、
          > こんなの書いちゃう時点で駄目出しされるには十分な根拠だと思うな。

          FTPが外部から見えていて情報が漏えいしていたので、FTPを閉じて情報漏えいを止めた。

          ってことで今回の情報漏えいについては解決しているんじゃないんですかね?

          親コメント
        • by Anonymous Coward

          >実際にアクセスして確かめてみろとでも?
          首都大学東京の総務あたりに問い合わせればよろしい。

      • by Anonymous Coward

        > 雰囲気を根拠にダメ出しってのも凄いな

        ウェブが外部から見える!!

    • by Anonymous Coward

      今どき学内の情報システムの管理運用なんて、総務部IT課の雑用係が業者に丸投げしているだけだろ。
      20年前(windows95が世に出た頃)なら、情報系の院生がボランティアでやっていたかもしれんが。

      プレスリリースだって、NASと聞いて茄子とか那須しか思い浮かばない人がやっているんだから。

  • by Anonymous Coward on 2015年01月20日 16時27分 (#2746919)

    流出した可能性があると発表しました。

         ↓ ↓ ↓

        共有しました。

  • by Anonymous Coward on 2015年01月20日 15時25分 (#2746861)

    成績情報の悪用なんてわかりようないし、
    そもそも知られたくない情報の筆頭だと思うんだけど。
    集団訴訟もありうるんじゃないのこれ。

  • by Anonymous Coward on 2015年01月20日 15時39分 (#2746870)

    学校名、都立大に戻さないのかな。
    以下にも変な名前だから大学選ぶときの候補から外れる。

  • by Anonymous Coward on 2015年01月20日 15時43分 (#2746877)

    デフォルトで匿名アクセスができる状態のFTPが有効で販売されてるって…
    一体どこの製品?

    そりゃ使う方がまずかったのは事実だろうが、製品も大概だろこれ
    注意喚起のためにも公表してほしい

    • NAT内に設置するのが前提の製品なのでは?

      大学のネットワークではグローバルIPアドレスがDHCPで直接払いだされる仕組みのネットワークもあります
      別途ファイアウォールを大学が設置していなければ外からアクセスできてしまいます

    • by Anonymous Coward

      だいぶ前だが、fedora系のlinuxを勉強がてらにインストールしてみたら、FTP周りはほとんどallowだったような気がする。

      経費を浮かせるためとか、ダメ院生の訓練がてらとか、そういう理由でNASだけ付け足されたのかも。

  • by Anonymous Coward on 2015年01月20日 15時43分 (#2746879)

    どこの業者だったのかな

  • by Anonymous Coward on 2015年01月20日 16時09分 (#2746897)

    日本有数の大学の情報セキュリティレベルがこれとは
    権威主義で有能な人が担当や責任者になれないのですかね

    デフォルト公開って機能は確かに性質悪いですけど
    素人でもネットワークに覚えあればまずやらかさないポカだろうに

    学生はもっと怒っていいと思うんだ
    漏らされた当人はもとより
    学び舎の質を地に落としたんだから

    極東の一大学とはいえ
    国内で東大ぷぷぷ~と言われることのないように
    せめて改善策くらいは
    腐っても東大といわれるくらいの内容を公表してほしいな

    指導の徹底で頑張ります程度じゃ話にならないよ

    • by Anonymous Coward

      東大???

      • by Anonymous Coward

        強いて言えば大東ですかね?

        まあ自分もパッと見た瞬間は、東京大学かと思いました。

    • by Anonymous Coward
      日本有数の大学???
      • by Anonymous Coward

        都立大ってそこそこのレベルの学校だと思ってたけど
        名前変わってから偏差値下がった?
        まぁどっちにしても有数って程じゃなかったか。

      • by Anonymous Coward

        日本有数の大学???

        まぁ、無数ではないな

    • by Anonymous Coward

      首都大学東京 は 東京の大学です.
      東大は東京にある大学です.
      良く似ています.

  • by Anonymous Coward on 2015年01月20日 16時25分 (#2746916)

    冒頭はですます調なのに、途中から文体かわってるのね。冒頭以外は技術系の人間が書いて文体変えずにそのままコピペしたのだろうか。

  • by Anonymous Coward on 2015年01月20日 16時30分 (#2746922)

    IPv6が普及したら、こういう事増えるんじゃないかな?

    ローカルIPとか不便だとか言ってるけど、むしろ公開したくない機器にグローバルIPなんか振らない方がいいんじゃないの?

    • by Anonymous Coward

      NATの向こう側のホストコンピューターでほとんど無駄に稼働してるファイアウォールがやっと活用されるようになるのさ。

  • 気にするなよ

    どうせGoogeleサービス使ってるんだろ、

typodupeerror

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

読み込み中...