東北学院大学が不正アクセスとランサムウェアで約7千件の個人情報漏洩
東北学院大学は2024年9月7日(土)に発生した不正アクセスとランサムウェアで7,085件の個人情報が漏洩した事を発表しました。
不正アクセスとランサムウェアの概要
2024年9月7日(土)職員が利用している業務用パソコンがランサムウェア感染し、共有ドライブから業務データが不正にダウンロード(窃取)され個人情報が漏えいし、その後関連データと被害PCが利用不可能となる。
2024年9月9日(月)事案確認後、被害拡大を防止するため、直ちにネットワーク遮断と職員のアカウントの停止を実行
不正アクセスの原因
学外からアクセス可能なネットワークに設置していた被害PCが、外部攻撃者の標的となり、ユーザーIDとパスワードを窃取されて不正侵入を受けた。
漏洩した個人情報の項目と件数
(1)学外者
- 漏えい対象者:システム構築・運用に関わる外部企業(システム関連企業)関係者
- 漏えいしたデータ項目:システム構築体制表に記載の氏名、電話番号、メールアドレス等
- 漏えい件数:41社119名
(2)大学学生
- 漏えい対象者:東北学院大学の学部学生(卒業生含む)
- 漏えいしたデータ項目:学生番号、成績情報(2023年度開講の1科目)、メールアドレス、氏名
- ※漏えいしたリストは以下の①〜④の形式であり、個人と成績情報が直接紐づく情報は含まれていない
- ※同一学生の情報が重複して含まれる場合があります
- ①学生番号+成績(1科目)
- ②メールアドレスのみ
- ③学生番号+氏名+メールアドレス
- ④メールアドレス+氏名
- 漏えい件数:合計3,490名(うち成績情報漏えい対象者:3,071名)
(3)東北学院大学教職員
- 漏えい対象者:学校法人東北学院 法人事務局および設置学校の教職員
- 漏えいしたデータ項目:教職員番号、氏名、一部メールアドレス
- ※以下の組み合わせで漏えいが発生
- 教職員番号・氏名
- 教職員番号・氏名(姓のみ等一部情報欠損あり)
- 過去在籍者の学生番号・氏名(全て無効化済)
- 部署アカウント(管理上教職員として扱っていたもの)
- ※以下の組み合わせで漏えいが発生
- 漏えい件数:合計3,476件