北大、キャリアセンターから学生情報など流出の疑い

北海道大学は1/13日に、同キャリアセンターのサーバーに外部からの不正なアクセスがあり在校生、卒業生、企業の情報など合計で約11万件が流出した疑いがあるとして調査に乗り出したと発表した。現在詳細を調査中とのこと。また、下記記載のように相談の窓口も設けられている。

以下、北大の公式のリリース抜粋(北大HPより）

　昨年１２月２７日，大量のスパムメールが送信されたことにより，自動的にメールの送信を遮断したサーバがあることを，１２月２８日に確認しました。
　その後，当該サーバが本学キャリアセンターのファイルサーバであることが判明し，ログ等の調査・確認を行い，１月４日に当該サーバが不特定多数の外部サーバと通信していることが判明したため，当該サーバをネットワークから切り離す措置を講じました。
　当該サーバ内には，学生等の個人情報及び企業等の情報が所蔵されていました。所蔵数は，在学生が約１万８千人，卒業生が約９万５千人，企業等が約２千社で，計約１１万件であります。現在，これらの情報について，データの流出の可能性があることから，流出の有無について調査を行うとともに，学内に設置している他のサーバについても，セキュリティの管理状況の調査に着手しました。

北海道大学学務部内　情報セキュリティインシデント専用窓口
　　　　　　　　　　電話番号　０１１－７０６－８１３４，８１３５，８１３６
　　　　　　　　　　平日　９：００～１８：００

学生の反応

今回の事件、現在北海道大学の学生であり就活を控えている筆者としてはかなり気がかりである。そこでTwitterで他の学生達が、今回の事件にどれだけ注目をしているのか調べてみた。

キャリアセンターに登録してたっけな？してない気がするが、なんかの機会にされてるから、確信が持てない。 https://t.co/NWTIXijl2g

— ティッシュ (@Fire_Tissue) 2016, 1月 13

北海道大学サイバー攻撃受けた！？これ、大丈夫か？？？( ´･ω･`)

— しおこんぶ@乾燥こんぶ (@shiokonbu_141) 2016, 1月 13

そろそろ北大から全学生に慰謝料支払われてもいいんじゃないだろうか

— 8つの川 (@tjpby22) 2016, 1月 14

わー大変だー。オレのロクでもない学業の成績がバレてしまうー（棒 北大にサイバー攻撃か、学生・卒業生の情報流出の可能性：朝日新聞デジタル https://t.co/IQQs3sh19c

— IOSYSたくや (@iotakuya) 2016, 1月 13

北大サイバー攻撃されたしこの際だから情エレなくなんないかな

— スコマが辛いこーらる (@koralle_sng_84) 2016, 1月 13

【これが北海道大学だ！】 ・IS参加野郎 ・構内で大麻栽培される ・じゃがいも盗まれる ・AVの撮影現場になる ・サイバー攻撃される←NEW! https://t.co/O575gjmfet

— 北海道大学麦茶同好会 (@mugicha_hokudai) 2016, 1月 13

シリアスに悩む学生（とみられる）、比較的気にしていない学生、過激な意見、事件をきっかけに学科が消えることを祈る学生、北大にまたネタが増えたことを喜ぶ学生などがみられる。自由な校風、母校を愛する気持ちが顕著に現れている。

実際にインタビューをしてみた

今回の事件ではキャリアセンターの情報が漏えいした可能性があるということもあり、これから就職活動が本格化する北大の3年生の方など数名に今回の事件について感想を伺った。

文学部 3年

就職活動に影響が出るかと言われたら、そんなことは決してないのかなと思う。もともとキャリアセンターに握られている情報はそれほどないんじゃないでしょうか？むしろ、被害が発生したかどうかわからない段階で正式に発表を出した点は評価されるべき。

経済学部　3年

情報社会の中で、迷惑メールなどが流れてきたりと、情報の流出は頻繁にあると思っています。今回の事件をきっかけに、民間・官公庁などにマイナンバー、クレジットカードの情報をきちんと守る意識を再度持って欲しいですね。

就活を終えた学生は、どう考えているのか。

経済学部4年

ネットで騒がれているほどに、憤りを感じているわけではない。OB訪問とかできるように元々既卒者の名簿も公開されていたし。でも、ITリテラシーがないからこういう風に思ってしまうのかも。

大学の対応

筆者自身の就職活動に影響があるのではないかという懸念もあり、北海道大学の相談窓口に連絡をしてみた。

筆者「今回の事件で、私たちの就職活動に影響はありそうですか？」

担当者「今の所、情報が漏えいしたかもわからないのでなんとも言えません。真相がわかり次第再度学生の方向けにも再度発表をさせていただきます。」

筆者「今回の件で学生から、他にも問い合わせはありましたか？」

担当者「昨日からコールセンターを設置しておりますが、数件程度です。今回はご迷惑をおかけして申し訳ありませんでした。」

筆者「ありがとうございました。」

上記の様な対応であった。終始丁寧な対応で、大学として問題を重要視している姿勢が伝わってきた。

過去の同様の事件

昨年には、東大でも学生の情報が流出する事件が発生していた。

東京大学が管理する業務用PCがマルウェアに感染し、情報の流出被害が確認されましたので、経緯と今後の対応についてお知らせします。
平成27年6月30日に、東京大学の教職員の一部と学生の一部のメールを管理する学内メールサーバの管理画面の設定（モード）が変更されていることを発見し、調査を行ったところ、同PCに保存されていた東京大学が学内向けに行っているサービスの業務用アカウントが流出していたことが確認されました。このほか同PC及び同サービスのサーバ等に保存されていた情報が流出した可能性があることが判明しました。東京大学としては直ちに、流出した可能性のある全てのパスワードの変更等の対応を実施するとともに、同PCを隔離保全するという対策を取り、被害拡大防止措置を実施しました。

（東大webサイトより）

また、東大の事件でも２次被害が確認される前に事件が公表されており、また流出から２週間程度での公表である。今回の北大の対処も過去の事例と照らし合わせてみると、適切な対処であったと言えるのではないか。

今後の二次被害が広がらないことを祈るばかりである。