松山大学、サポート詐欺と不正アクセスにより個人情報漏洩の可能性

松山大学および松山短期大学は、職員がサポート詐欺の被害に遭いその後不正アクセスを受けて個人情報が漏えいする可能性がある事案が発生しました。

サポート詐欺と不正アクセスの概要

2025年1月3日14時20分頃、同学の教育職員が、個人情報を含むパソコンを自宅のWi-Fiに接続してインターネットを利用していた際、警告音と共に警告画面が表示されました。教育職員はこれを正規のセキュリティ警告と誤認し、画面の指示に従い、指定された連絡先に電話をかける。

相手の指示に従って操作を進めた結果、パソコンがリモート操作可能な状態となり、不正アクセスを受ける状態となった。

その後、セキュリティ強化として料金の支払いを求められたことで詐欺に気づきましたが、この間にパソコン内のデータが漏えいした可能性があり。

漏洩した可能性のある個人情報

問題の発生したパソコンには学生や受験者の個人情報が保存されていました。その詳細は以下の通りです。

• 件数：488個のファイル、影響を受ける可能性のある人数は889名
• 情報の内容：
  • 学籍番号
  • 氏名
  • 生年月日
  • 性別
  • 成績
  • レポート
  • 編入学試験出願書類

問題点

今回セキュリティインシデントの問題点として、個人情報が保存されていたパソコンを自宅から接続できるシャドーITとセキュリティリテラシーの低さが問題になります。

シャドーITが引き起こすリスク

シャドーIT（Shadow IT）とは、組織のIT管理部門の承認を受けずに、個人が独自に導入・利用しているIT機器やソフトウェア、クラウドサービスなどを指します。今回の事案では、教育職員が大学の管理外の自宅Wi-Fi環境で業務用パソコンを使用し、セキュリティリスクを引き起こしました。

大学のネットワーク内であれば、最低限のセキュリティ対策や監視が行われ、危険な通信や異常な挙動を検出できます。しかし、自宅のWi-Fi環境では、大学の管理が及ばないため、サイバー攻撃に対して脆弱になります。

リテラシー不足による問題点

近年、「あなたのパソコンがウイルスに感染しました」といった偽の警告画面を表示し、ユーザーを騙す「サポート詐欺」が増えていますが、どういった手口で行われるかを組織で啓発し、1人1人が対策意識を持つ必要がありますが、情報セキュリティリテラシーの不足が招いた典型的なトラブルといえます。