学内端末でクラウドサービスのユーザー情報が閲覧可能に - 東大

東京大学は、同大構成員が利用するクラウドサービスにおいて設定ミスがあり、利用者情報を学内端末より閲覧できる状態だったことを明らかにした。

同大より構成員に提供している「Google Workspace for Education」の利用者情報が、学内利用者向け端末より閲覧できる状態となっていたもの。学内の利用者が気が付き、通報が寄せられ判明した。

対象となる情報は、利用者の氏名、メールアドレス、大学の他サービスで用いる共通ID、学生証番号、パスワードのハッシュ値など。

設定ミスにより生じたもので、対象は学内に設置された端末のみで、構成員の持ち込み機器からは閲覧できなかった。実際に利用者情報が流出したかはわかっていない。

閲覧が可能だった学内端末の台数、対象期間などはセキュリティ上の理由から非公開としている。11月6日の時点で不正ログインをはじめとする被害は確認されていない。

同センターでは、閲覧が行えないよう設定を修正。ハッシュ値よりただちにパスワードが特定されるものではないとしつつも、利用者に対してパスワードを変更するよう求めるなど対応を進めている。

（Security NEXT - 2023/11/07 ） ツイート

PR

関連記事

患者の個人情報含む納品書を複数の取引先へ誤送信 - フクダ電子グループ会社
フィッシング契機に端末不正操作、個人情報流出を確認 - 共立メンテナンス
国立医薬品食品衛生研究所でフィッシング被害 - さらなる攻撃の踏み台に
広く利用されるVSCode拡張機能「Live Server」に脆弱性 - 未修正状態続く
OpenText製品向けID統合基盤「OTDS」に脆弱性 - 修正版を公開
米当局、「Dell RP4VMs」や「GitLab」の脆弱性悪用に注意喚起
「Chrome」にセキュリティアップデート - 今月4度目の脆弱性対応
米国拠点でメルアカに不正アクセス - アダルトグッズメーカー
サイトが改ざん被害、無関係ページで不自然なアクセス増 - 藤田鍍金
理工学部でSSD紛失、内部に調査で取得した個人情報 - 慶大