从庆应大学的信息泄露看危机管理和律师的角色
不正访问导致的信息泄露不仅仅发生在企业中,教育领域也同样存在这个问题,但是,其应对方式似乎与企业有所不同。
特别是关于个人信息,主要涉及到学生、教职员工等,因此,当发生信息泄露事件时,信息公开的范围也往往受到限制。
然而,无论是企业还是学校,对个人信息保护的态度都是一致的,信息泄露的危机管理基本原则是相同的。
因此,本次我们将从危机管理的角度,针对不正访问导致的个人信息泄露这一事件,以慶应義塾大学湘南藤沢校区(以下简称慶应SFC)的信息泄露事件为例,解析危机管理体制的关键点。
关于庆应SFC信息泄露事件的概述
以下是关于庆应SFC发生的非法访问导致信息泄露的主要内容。
- 泄露发现:2020年9月29日凌晨,发现了课程支持系统(SFC-SFS)※可能发生非法访问导致的信息泄露。
※SFC-SFS是一个具有向所有注册者发送邮件、下载注册者名单、注册报告/任务、接收提交、登记成绩(评语)、输入和查看课程调查评论等功能的系统。 - 泄露原因:19名系统用户的ID和密码被盗,第三方非法利用这些信息侵入系统。SFC-SFS的脆弱性被认为是主要原因。
- 泄露范围:湘南藤泽校区管理的学生和教职员工等的个人信息
- 泄露内容:除了“姓名”、“地址”、“账户名”和“电子邮件地址”外,如果是学生,还包括“照片”、“学籍号”、“学分获取信息”和“入学日期”等,如果是教职员工,还包括“教职员工号”、“职位”、“个人简介”和“个人邮件数据”等。
- 泄露件数:可能发生信息泄露的约为33,000件
不正访问的发现和初步应对
9月15日17:45左右,我们在慶应SFC的IT部门确认到针对SFC-SFS的脆弱性探查正在零星进行。
此外,9月28日晚,我们检测到对SFC-SFS系统的可疑访问,并在调查后发现,9月29日凌晨可能发生了由不正访问导致的信息泄露。
慶应SFC在确认到脆弱性探查这一不正访问的预兆后的第二天开始了以下的初步应对措施:
- 要求所有用户更改密码(9月16日,9月30日)
- 持续监控所有认证位置和认证日志等(从9月16日开始持续)
- 将从学校外部登录共享计算服务器的方式限制为仅公钥认证(9月16日)
- 停止已确认脆弱性的Web服务,并修复脆弱性位置【进行中】(从9月16日开始逐步进行,SFC-SFS于9月29日)
- 停止SFC-SFS系统(9月29日)
关于慶应SFC的初步应对
在发现不正访问时,基本的做法是设立应对本部进行初步应对,但在这个案例中,由最高信息责任官兼最高信息安全责任官国领先生领导的IT部门似乎作为应对本部进行了工作。
初步应对的重要性在于,为了防止损害的扩大和二次损害的发生,需要进行“信息的隔离”、“网络的切断”和“服务的停止”。但在慶应SFC的情况下,由于系统的用户并非不特定多数,而是限于学生和教职员工,因此优先进行了密码的更改和登录方式的限制等措施。
然而,我们在确认到不正访问的预兆时立即采取了行动,并在9月29日确认到可能发生信息泄露后立即停止了SFC-SFS的系统,这可以说是适当的危机管理应对。
关于慶应SFC的初步应对,令人关注的一点是,对于不正访问这一犯罪行为,是否在采取证据保全措施后向监管机构或警察等进行了报告。由于在新闻发布或新闻媒体等没有相关描述,因此无法确认。
关于通知相关人员
慶应SFC对学生和教职员工的通知是以业务联络邮件的形式进行的,首次提及个人信息泄露的应该是9月30日的邮件。
9月29日,慶应SFC通知其所属员工,由于发生了“重大故障”,因此停止了SFC-SFS。
9月30日,由于这个问题,可能泄露了“用户的账户信息”,因此要求SFC-SFS的所有用户更改密码。
此外,通知所属员工,由于SFC-SFS的停止,无法按计划进行选课学生的选拔和对选课学生的联系,因此决定暂停一段时间的课程。
听到这个消息的J-CAST新闻进行了采访,并在同日以“慶应SFC的课程系统发生重大故障,秋季学期开始延迟一周的异常情况”为题发布了文章,公开了“用户的账户信息”的泄露。
10月1日,慶应SFC在其网站上向学生通知,由于可能发生了不正访问,因此在9月29日停止了SFC-SFS,由于这个影响,从10月1日到7日将停课。(※没有提及个人信息泄露)
信息泄露后的新闻发布
首次公开非法访问导致个人信息泄露的是在11月10日,通过网站进行的。
这次,我们发现在湘南藤沢校区的信息网络系统(SFC-CNS)和课程支持系统(SFC-SFS)中,有19名用户(教职员工)的ID和密码被盗,通过这些信息进行了非法访问,并利用课程支持系统(SFC-SFS)的漏洞进行攻击,可能导致用户的个人信息从该系统中泄露。对于这种情况的发生,我们向所有相关人员深感抱歉,对您造成的困扰和担忧表示歉意。另外,目前还没有确认到二次受害。
慶应義塾「SFC-CNS 和 SFC-SFS 的非法访问导致个人信息泄露」 [ja]
这份新闻发布中还包含了以下详细信息:
- 可能泄露的个人信息内容
- 发现泄露的经过
- 泄露发生的原因
- 发现后的应对措施
- 当前的情况
- 防止再次发生的措施
以上内容几乎涵盖了关于信息泄露公开资料所需的所有项目。
关于慶应SFC的新闻发布
新闻发布的时间
本来,慶应SFC应该是首先自行公开的,但是在J-CAST新闻报道后的41天才公开,不得不说这是迟了。
因为,在个人信息泄露的情况下,为了防止二次受害等,需要尽快通知泄露个人信息的本人。
但是,如果在9月30日更改密码的请求时已经告知了“用户账户信息”的具体内容,那么就没有问题。
对欺诈和骚扰行为的警告
在信息泄露后的新闻发布中,必须公开发生的信息泄露,并在个人信息泄露的情况下,通知本人并道歉,同时警告防止受到欺诈和骚扰行为等的损害。
即使是被封闭的校园内的信息,一旦泄露到外界也有可能被滥用,在本案中,对欺诈和骚扰行为的警告也是必要的。
危机应对的核心:应对策略本部
慶应SFC在其新闻发布中的“再发防止措施”部分,对应对策略本部进行了如下描述:
慶应義塾将以此次非法访问事件为契机,全校范围内对Web应用程序和系统进行安全检查和改进,重新审视个人信息的处理方式等,以防止类似事件的再次发生。此外,我们已于2020年11月1日(2020年)在学校内设立了CSIRT(信息安全事件应对团队),并进行了能够全面应对网络安全的组织建设。同时,我们将与外部专业机构合作,全校范围内努力加强安全性。
慶应義塾「关于SFC-CNS和SFC-SFS的非法访问导致个人信息泄露」 [ja]
本案的初步应对似乎是由慶应SFC的内部组织直接承担了应对策略本部的角色,而在2020年11月1日(2020年)设立的“CSIRT”是一个相当于应对策略本部的组织,它将成为加强安全性和未来事件发生时的危机应对的核心。
尽管CSIRT的成员构成尚不清楚,但除了系统的安全措施外,还需要同时进行与目标用户的联系、向监管机构和警察等的报告、媒体应对、法律责任的考虑等,因此,通常需要以下外部第三方机构和专家的参与:
- 大型软件公司
- 大型安全专业供应商
- 对网络安全有深入了解的外部律师
总结
即使在本次教育领域中发现个人信息泄露的情况下,适当的”初期应对”和以对策本部为中心的”通知·报告·公开”以及随后的”安全措施”也是重要的。
特别需要速度的不仅是初期应对,还包括向警察和相关部门的通知·报告,向本人的通知(道歉),以及适当时机的公开。
然而,如果处理步骤或方法出错,可能会被追究损害赔偿责任等,因此,我们建议您在进行时事先咨询具有丰富网络安全知识和经验的律师,而不是自行判断。
对Capcom的恶意软件导致的信息泄露的危机管理感兴趣的人,我们在文章中详细描述了,请一并查看。
https://monolith-law.jp/corporate/capcom-information-leakage-crisis-management[ja]
我們事務所的對策介紹
Monolith法律事務所是一家在IT,特別是互聯網和法律兩方面具有高度專業性的法律事務所。我們事務所為從東京證券交易所一部上市公司到創業公司,提供各種案件的法律審查。請參考以下文章。
