東海国立大学機構は2022年11月17日、運用する情報システムのサーバーが不正アクセスを受け、データの一部改変と個人情報漏えいの可能性を発表した。個人情報が約4万件漏えいした可能性があるが、現在のところ個人情報が悪用された事実はないという。
今回の不正アクセスは2022年10月18日、東海国立大学機構が運用する情報システムが、アカウントを管理するサーバーのログを確認したところ、不正アクセスによるパスワード総当たり攻撃を受けていたことが判明した。アクセスログ解析の結果、機構アカウントや氏名等を含めた個人情報が約4万件漏えいした可能性がある。
漏えいの可能性のある対象者は、2022年5月以降、岐阜大学に所属している(していた)教職員、2021年7月以降、名古屋大学に所属している(していた)学生および教職員。今回の原因は、機構外からネットワークアクセス制限が要求される個所において、設定に不備があったことによるという。
発覚後、直ちにネットワークを遮断。現在のところ、個人情報が悪用された事実はないという。関係者には、事実関係の説明、およびパスワード変更を依頼し、対応窓口の設置と連絡先を伝え、謝罪を行った。また、この攻撃により改変されたデータは復元可能で、大学業務の継続に直接的な影響はない。
東海国立大学機構は「関係者の皆様にご迷惑をおかけしましたことを深くお詫び申し上げます」と謝罪。今後は、設計・構築段階におけるセキュリティ評価、および運用段階における安全確認について、手順の確立と確実な実施に努めるとしている。
