東海大学は1942年に創立された私立の総合大学で、日本有数の規模の大学です。全国各地にキャンパスを持ち、23学部62学科を有しています。
この東海大学は14日、業務委託先におけるランサムウェア被害を公表しました。この記事ではその概要について簡単に書いていきます。
結論
- 業務委託先のサーバーがランサムウェアの被害を受ける
- 教職員・学生・保護者のユーザーID、パスワードなどが漏洩した可能性
- 2025年4月のランサムウェア被害とは異なる
ランサムウェア被害
東海大学によると今回ランサムウェア被害を受けたのは、東海大学本体ではなく、業務委託先である「株式会社東海ソフト開発」であるとのことです。東海ソフト開発は、公式サイトによれば東海大学が32%の株を持っており、最大株主である東海教育産業も東海大学が大株主ですので、東海大学の関連企業と言っても差支えのない会社でしょう。
公表された経緯によると、ランサムウェアは遅くとも11月7日22時30分頃に活動を開始しており、翌8日の午前8時30分頃にネットワークからランサムウェアに感染したサーバーを隔離したとのことです。影響を受けた端末等は20台から30台程度とみられています。
これによって、サーバーのファイルの一部がランサムウェアによって暗号化されたとされています。また、この不正アクセスを受けたサーバーには、「東海大学の教職員・学生・保護者のユーザーID、パスワードなどを含む個人情報ファイル」が保存されていたとされています。東海ソフト開発による第2報においては、ファイルが外部に流出された可能性が高いことに言及されており、これらの個人情報が含まれたファイルも流出してしまった可能性があります。
現状原因としては「委託先にてリモートメンテナンス用の入り口から、何らかの方法で窃取した管理者アカウントを用いて進入された可能性」が示されています。そのため、認証情報が奪われたことによる不正ログインがあった可能性が考えられます。
被害を抑制するための対策も取られています。多要素認証が導入されていない東海大学内の一部サービスで、外部からの利用を一時停止したほか、東海ソフト開発の管理するサーバーやネットワーク機器等のパスワードの変更を行っているとのことです。また、流出した可能性のある全てのパスワードの一括リセットを行うとのことです。
2025年4月の被害
東海大学は2025年4月にもランサムウェアの被害に遭っていました。当初はネットワーク障害とされており、附属病院等にも障害の影響が一部及んでいましたが、実際はランサムウェア被害を受けたものでした。
7月に公開された最終報によれば、東海大学関係者のアカウント情報が悪用されネットワーク内部への侵入を許してしまい、ランサムウェア被害を受けてしまったとのことです。なお、情報の流出は確認されていないとのことです。
これによって最大で43451件の認証情報やWebページのコンテンツが暗号化された被害を受けてしまいました。また、感染拡大を防ぐためにネットワークを遮断したため、大学本体の情報システムの使用が出来ない状態となったり、付属諸学校や関係機関の公式サイトの閲覧ができない状態となったりしていたりしました。
今回のランサムウェア被害はこの事案とは現状直接関係ないものと思われますが、現状これとの関連性は不明となっています。
関連リンク
- 業務委託先サーバへの不正アクセスに関するお知らせと注意喚起 - 東海大学
- 【第1報】業務委託先サーバへの不正アクセスに関するお知らせ - プレスリリース
- ランサムウェア攻撃に関するお知らせとお詫び - 株式会社東海ソフト開発
- ランサムウェア攻撃に関するお知らせとお詫び(第2報) - 株式会社東海ソフト開発
- 東海大、委託企業にサイバー攻撃 ランサムウエア、個人情報流出か - 時事通信
最後に
前回の技術に関する記事: 日経新聞社員の私用PCがマルウェアに感染し、盗まれた認証情報を悪用され日経社内Slackから情報が流出
4月にランサムウェア被害を受けた東海大学が、直接ではないとはいえランサムウェア被害をまた受けてしまいました。セキュリティーの強化が十分に行われていたかについて今後より厳しい検証が行われるかと思います。
また、4月のものは情報の流出が無かったとされていますが、今回のものは流出の可能性が既に報告されてしまっています。パスワードが万が一平文で保存されていた場合、同一パスワードを用いた辞書的攻撃の材料となりかねません。東海大学が大きな大学である以上、この影響も大きいのではないかと考えられます。
現状、東海大学からも東海ソフト開発からも詳細な情報は出ていない状態なので確かな情報ではありませんが、今後注視していこうかと思います。
