(初回掲載日:令和元年10月11日)
10月4日(金)に本学Webサイトにて注意喚起及びお詫びさせていただきましたフィッシングメールの発信について,あらためてご報告させていただきます。
本学教職員がフィッシングメールを受信し,本学教職員のメールアカウントのパスワードが窃取され,9月20日(金)から9月27日(金)の間に本学から41,697件のフィッシングメールを送信する事態が発生しました。
また,その間,不正アクセスを行った者が,個人情報を覗き見た可能性があることが判明しました。
現時点では,個人情報漏洩による被害は確認されておりませんが,皆様にご心配,ご迷惑をおかけしましたことをあらためて深くお詫び申し上げます。
本学といたしましては,今回の事態を重く受け止め,真摯に対応していくとともに,再発防止について法人をあげて取り組んでまいります。
令和元年10月11日
国立大学法人金沢大学
最高情報セキュリティ責任者
氷見谷 直紀
○不正アクセスを行った者が覗き見ることができた個人情報
対象メール数 251通
学外者の個人情報
①氏名,メールアドレス 6名分
②氏名,メールアドレス,住所(勤務先・所属等),電話番号 20名分
学内者の個人情報
③氏名,メールアドレス 7名分
④氏名,メールアドレス,住所(勤務先・所属等),電話番号 33名分
・不正アクセスを行った者から覗き見ることができた個人情報の対象者の方々に対しましては,お詫びのご連絡をいたしました。
1.発生状況
令和元年8月14日(水)と9月20日(金)に,本学に対して,本学利用のメールサービスの障害通知を装い,偽のウェブメールのログインサイトへ誘導してパスワードを入力させる英文のフィッシングメールが届きました。そのフィッシングメール内のURLから偽のサイトに誘導され,メールのパスワードを入力した25名のメールアカウントが不正にアクセスされました。この25名のうち7名のメールアドレスから9月20日(金)から27日(金)の間に41,697件のフィッシングメールが送信されました。また,251通のメールについて,メールアカウントのパスワード変更等の対応を行うまでの間,不正アクセスを行った者が覗き見ることができる状態になっておりました。
2.対応状況
・不正アクセスを受けたメールアカウントのパスワードをすべて変更しました。
・学生・教職員に対し,メールのパスワード変更や不審なメールに関する注意喚起を行いました。
・メール送信数の制限を行っています。
・メール送信状況監視の強化を行いました。
3.今後の対応
本学学生・教職員に対し,メールアカウントの取り扱いなど個人情報の管理及び情報セキュリティ対策について,より一層指導を徹底いたします。また,多要素認証の導入など,システム上のセキュリティ強化を図ります。
4.お願い
差出人や件名に「金沢大学」やKanazawa Universityの表記があるメール,メッセージなどにご注意ください。また,不審なメールや電話についても,くれぐれもご注意いただきますようお願いいたします。
○確認されている発信したメールの例
——————————————————————–
差出人: Kanazawa University <**** @ ***.kanazawa-u.ac.jp>
件名: Email Confirmation! 又はRecover rejected emails! 又はIncoming email rejected 001
本文:
As of [日付][時間], Kanazawa University Email System was unable to deliver 4 new messages to your [受信者のメールアドレス] inbox To recover rejected emails, please visit the link below and log in
Recover_mails(※1)
Kanazawa University Media Center,
© 2003-2019 Information Media Center, Kanazawa University.
——————————————————————–
※1 "Recover_mails" がリンクとなっています。
<本件に関する照会窓口>
金沢大学総務部広報室 TEL:076-264-5024