2025年3月19日、山形県立酒田光陵高校にて学習支援システムへの不正アクセスにより、生徒・卒業生ら1,155人分の個人情報が漏えいしたことが明らかになりました。漏えいした認証情報を悪用し、およそ260万通にのぼるスパムメール(アダルトサイト誘導等)が外部へ送信されたことも判明しています。
インシデントの概要
インシデントの概要は以下です。
-
発生日:2025年2月19日(不正アクセス)
-
発覚日:2025年3月5日(教員による異常検知)
-
被害内容:
-
氏名、パスワードなどの認証情報
-
対象:在校生・卒業生 計1,155名
-
また漏えいした認証情報を悪用し、およそ260万通にのぼるスパムメール(アダルトサイト誘導等)が外部へ送信されたことも判明しています。
なお、スパムメールに生徒や個人の名前は含まれておらず、現時点では二次被害は確認されていないとのこと。
3月7日に、システムの復旧が完了し、各種対策は実施済み
教育機関に求められるセキュリティ強化の方向性
本インシデントと同様の脅威に対策するには、一般的には以下のような対策が必要になります。
-
多要素認証(MFA)の導入
-
アクセスログの定期監査とリアルタイム監視
-
パスワードの暗号化保存(ハッシュ+ソルト)
-
利用している外部サービスの脆弱性管理
参照
関連記事
安全なパスワード管理、パスワード生成とは
Google Cloudが2025年に多要素認証(MFA)を必須に
個人情報保護委員会、イセトーへのサイバー攻撃による約307万人の個人情報漏洩について行政指導を発表
インターネットアーカイブで不正アクセス 約3100万人の個人情報が漏洩した可能性
多要素認証で約99%のセキュリティリスクを削減できる Microsoftが発表
サイバー攻撃とは? 意味や種類、対策などを解説
中間者攻撃(AiTM攻撃)とは?多要素認証で防げない理由と対策を解説
多要素認証(MFA)とは?メリットや必要性を解説
くすりのしおり、SQLインジェクションによるサイバー攻撃の調査結果と再発防止策を発表