從慶應大學的資訊洩露看危機管理與律師的角色
不正存取導致的資訊洩露不僅僅發生在企業中,也發生在教育現場,但其應對方式似乎與企業有所不同。
特別是關於個人資訊,學生和教職員等人是主要的對象,因此,當發生資訊洩露事件時,資訊公開的範圍也傾向於被限制。
然而,對於個人資訊保護,無論是企業還是學校,其立場都是一致的,資訊洩露的危機管理基本原則也是相同的。
因此,本次本所將從危機管理的角度,針對不正存取導致的個人資訊洩露這種事件,以慶應義塾大學湘南藤沢校區(以下簡稱慶應SFC)的資訊洩露事件為例,解釋危機管理體制的要點。
慶應SFC資訊洩露事件概述
慶應SFC發生的非法訪問導致資訊洩露的主要內容如下:
- 洩露發現:2020年9月29日凌晨發現課程支援系統(SFC-SFS)※可能存在因非法訪問導致的資訊洩露。
※SFC-SFS是一個具有向修課者發送一體化郵件、下載修課者名單、註冊報告/作業、接收提交、登記成績(評語)、輸入/查看課程調查評論等功能的系統。 - 洩露原因:19名系統使用者的ID和密碼被盜,並被第三方非法利用侵入系統。SFC-SFS的脆弱性被認為是主要原因。
- 洩露範圍:湘南藤澤校區管理的學生和教職員等的個人資訊
- 洩露內容:除了「姓名」、「地址」、「帳號名稱」、「電子郵件地址」,如果是學生還包括「照片」、「學籍號碼」、「學分獲取資訊」、「入學日期」等,如果是教職員則包括「教職員號碼」、「職位」、「個人檔案」、「個人電子郵件數據」等。
- 洩露件數:可能存在資訊洩露的約為33,000件
不正訪問的發現與初步應對
9月15日17:45左右,本所在慶應SFC的IT部門確認到對SFC-SFS的弱點探查正在零星進行。
此外,9月28日晚間,本所檢測到對SFC-SFS系統的可疑訪問,並進行了調查。結果在9月29日凌晨,本所發現可能存在因不正訪問導致的信息洩露。
慶應SFC在確認到弱點探查這一不正訪問的前兆後的第二天就開始了以下的初步應對措施:
- 要求所有用戶更改密碼(9月16日,9月30日)
- 持續監控所有的認證點以及認證日誌等(從9月16日開始持續)
- 將從學外登錄到共享計算服務器的方式限制為僅公鑰認證(9月16日)
- 停止已確認存在弱點的Web服務,並修復弱點部分【正在進行中】(從9月16日開始逐步進行,SFC-SFS是在9月29日)
- 停止SFC-SFS的系統(9月29日)
關於慶應SFC的初步應對
當發現不正訪問時,基本的做法是設立對策本部並進行初步應對。在本案中,由慶應義塾常任理事兼最高信息責任者兼最高信息安全責任者的國領先生擔任領導的IT部門似乎作為對策本部進行了工作。
初步應對的重要性在於,為了防止損害擴大或二次損害的發生,需要進行「信息隔離」、「網絡切斷」和「服務停止」。然而,慶應SFC的系統用戶並非不特定多數,而是限於學生和教職員,因此本所優先進行了密碼更改和登錄方式的限制等措施。
然而,本所在確認到不正訪問的前兆時立即採取行動,並在9月29日確認到可能存在信息洩露後立即停止了SFC-SFS的系統,這可以說是適當的危機管理應對。
關於慶應SFC的初步應對,本所關注的一點是,對於不正訪問這種犯罪行為,本所是否在進行證據保全措施後向監督機構或警察等報告。然而,由於新聞稿和新聞媒體等並未提及此事,因此本所無法確認。
關於通知相關人員
慶應SFC對學生和教職員的通知是以業務聯繫郵件的形式進行的,首次提及個人信息洩露的應該是9月30日的郵件。
9月29日,慶應SFC通知所屬員工,由於發生了「重大問題」,因此停止了SFC-SFS。
9月30日,由於這個問題,本所通知了SFC-SFS的所有用戶,可能有「用戶的帳戶信息」洩露,並要求他們更改密碼。
此外,本所還通知了所屬員工,由於SFC-SFS的停止,本所無法按計劃與修課學生進行聯繫,因此將暫停一段時間的課程。
聽到這個消息後,J-CAST新聞進行了採訪,並在同日以「慶應SFC的課程系統出現重大問題,秋季學期開始延遲一周的異常情況」為題發表了文章,「用戶的帳戶信息」的洩露被公開。
10月1日,慶應SFC在其網站上向學生通知,由於可能存在不正訪問,因此在9月29日停止了SFC-SFS,並由於此影響,從10月1日到7日將停課。(※並未提及個人信息洩露)
資訊洩露後的新聞發布
首次公開非法訪問導致個人資訊洩露的情況是在11月10日,透過網站進行的。
這次,本所發現在湘南藤澤校區的資訊網路系統(SFC-CNS)和課程支援系統(SFC-SFS)中,有19名使用者(教職員)的ID和密碼被竊取,並且利用這些資訊進行了外部的非法訪問和對課程支援系統(SFC-SFS)的脆弱性進行攻擊,可能導致使用者的個人資訊從該系統中洩露。本所對於這種情況的發生,對於相關人士造成的困擾和擔憂,深感歉意。另外,目前為止,本所並未確認到二次損害的發生。
慶應義塾「SFC-CNS 和 SFC-SFS 的非法訪問導致個人資訊洩露」 [ja]
這份新聞發布中也包含了以下詳細資訊:
- 可能洩露的個人資訊內容
- 洩露情況的發現過程
- 洩露發生的原因
- 發現後的對應措施
- 目前的狀況
- 防止再次發生的措施
以上內容,幾乎涵蓋了關於資訊洩露公開資料所需的所有項目。
關於慶應SFC的新聞發布
新聞發布的時機
本來,慶應SFC應該要首先公開這個情況,但是他們在J-CAST新聞報導41天後才公開,這無疑是遲了。
因為,在個人資訊洩露的情況下,為了防止二次損害等,需要儘快通知被洩露個人資訊的本人。
然而,如果在9月30日要求更改密碼時,已經告知了「使用者的帳戶資訊」的具體內容,那麼就沒有問題。
對於詐騙和騷擾行為的警告
在資訊洩露發現後的新聞發布中,必須公開發生的資訊洩露情況,並在個人資訊洩露的情況下,通知本人並道歉,同時警告防止受到詐騙和騷擾行為等損害。
即使是被封閉的校園內的資訊,一旦洩露到外界,也有可能被濫用,因此在本案中,對於詐騙和騷擾行為的警告是必要的。
成為危機應對中心的對策總部
慶應SFC在其新聞稿的「再發防止措施」中,對對策總部進行了如下描述。
慶應義塾將以此次不正訪問事件為契機,全校將迅速採取措施,進行Web應用程序和系統的安全檢查和改進,以及重新審視個人信息的處理方式等,以防止事件再次發生。此外,本所已於2020年11月1日(西曆2020年)在學內設立了CSIRT(資訊安全事件應對團隊),並將實施組織建設,以全面應對網路安全問題。同時,本所將與外部專業機構合作,全校將努力進一步加強安全措施。
慶應義塾「關於SFC-CNS和SFC-SFS的不正訪問導致個人信息洩露」 [ja]
本案的初步應對似乎是由慶應SFC的內部組織直接擔任對策總部的角色,但於2020年11月1日(西曆2020年)設立的「CSIRT」,是一個相當於對策總部的組織,將成為加強安全措施和未來事件發生時的危機應對中心。
CSIRT的成員組成尚不清楚,但除了系統的安全措施外,還需要同時進行與目標用戶的聯繫、向監督機構和警察等報告、媒體應對、法律責任的審查等工作,因此,一般需要以下外部第三方機構或專家的參與。
- 大型軟體公司
- 大型安全專業供應商
- 對網路安全有深入了解的外部律師
總結
即使在像這次一樣,教育場所發現個人信息洩露的情況下,適當的「初期應對」和以對策本部為中心的「通知・報告・公開」以及其後的「安全措施」也是重要的。
特別需要迅速的不僅是初期應對,還包括向警察和相關部門等的通知・報告,向本人的通知(道歉),以及適當時機的公開。
然而,如果處理程序或對策出錯,可能會被追問損害賠償責任等,因此本所建議您在進行時先向具有豐富的網路安全知識和經驗的律師諮詢,而不是自行判斷。
對於卡普空因惡意軟體導致的信息洩露的危機管理感興趣的人,本所在文章中詳細描述了,請一併參閱。
https://monolith-law.jp/corporate/capcom-information-leakage-crisis-management[ja]
本所事務所的對策介紹
Monolith法律事務所是一家在IT,特別是互聯網和法律兩方面具有高度專業性的法律事務所。本所事務所為從東證一部上市公司到創業公司的各種案件進行法律審查。請參考以下文章。