不正アクセスによる個人情報漏洩の可能性についてのお知らせとお詫び:[慶應義塾]

不正アクセスによる個人情報漏洩の可能性についてのお知らせとお詫び:[慶應義塾]

現在、学外からの不正アクセスにより、湘南藤沢地区のSFC-CNSメールサービス(*1)において、利用者のメールアドレスやパスワード等が漏洩した可能性が高いことが判明しております。さらなる不正アクセス防止のため、全アカウントのメールパスワード強制リセットを12月23日に、ログインパスワードの強制リセットを12月25日に行いました。さらに必要な対応に最優先で取り組んでまいります。

関係者の皆様には、多大なるご迷惑とご心配をおかけしておりますことをお詫び申し上げます。

■経緯概要2025年11月26日に、不審な通信が湘南藤沢キャンパスのメールシステムのスパムメール隔離サーバー(*2)から発生していることが判明しました。同日中に侵入経路を封鎖し、スパムメール隔離サーバーとして利用している機器のメーカーであるシスコシステムズ合同会社に情報を提供しました。調査を進めた結果、同機器上で動作しているソフトウェアの未知の脆弱性を利用して不正アクセスされた可能性が高いことが、12月18日に判明しました(いわゆる「ゼロデイ攻撃」(*3))。

さらに調査を行った結果、スパムメール隔離サーバーが参照していたディレクトリサーバー(*4)から、個人情報を含むデータが外部へ漏洩した可能性があることが12月22日に判明いたしました。なお、現時点では漏洩した可能性があるパスワード等を用いた二次被害は確認されておりません。本件に関して、監督官庁・関係機関および警察への被害の報告も適切に行っております。

■ご注意とお願い本件に関連して、今後フィッシングメールやスパムメール等が送付される二次被害が発生する可能性があります。不審なメールを受信された際は、安易にリンクをクリックしないようにするなど、十分にご注意くださいますようお願い申し上げます。

また、今回漏洩した可能性のあるパスワードを他のサービスでも利用されている場合は、不正ログイン等の二次被害を防ぐため、当該パスワードを直ちに変更していただきますよう重ねてお願い申し上げます。

■漏洩した可能性のある情報この度のSFC-CNSメールサービスへの不正アクセスによって、漏洩した可能性が現在判明している情報は次のとおりです。

●漏洩がほぼ確実なデータ:ディレクトリサーバー上の情報►現在SFC-CNSを利用しているユーザー(学生、教員、職員、その他)と2025年9月卒業生、および2025年8月28日以降にアカウントを停止したユーザーの計6,447件

  • ◆ メールアドレス
  • ◆ ログイン用パスワードのハッシュ(*5)
  • ◆ メール用のパスワード(平文)
  • ◆ Wi-Fi用のパスワード(可逆暗号化)(*6)
  • ◆ 漢字氏名
  • ◆ アルファベット氏名
  • ◆ 学籍番号 または 教職員番号
  • ◆ 転送先メールアドレス
  • ◆ その他、システムで用いる各種データ

►2025年3月卒業生 計1,025件(氏名やパスワードなどのデータは含まれていません)

●漏洩の可能性があるデータ:スパムメール隔離サーバー上の情報

► 隔離されたメール総数(多くがスパムメール):最大222,508通(隔離サービス利用中のメールアドレス数984)►セーフリスト/ブロックリスト(*7)に載っているメールアドレス、ドメイン数: 最大1,613件(重複を除くと1,102件)

ただし転送されたデータの量から推定して、スパムメール隔離サーバー上の情報が大量に流出した可能性は低いと判断しております。

用語解説:

  • *1「SFC-CNSメールサービス」:湘南藤沢キャンパスが学生・教職員に提供する独自のネットワークシステム(Shonan Fujisawa Campus - Campus Network System)におけるメールサービス
  • *2「スパムメール隔離サーバー」:スパムメールと自動判定されたメールを、判定間違いなどに備えて一定期間保存しておくためのサーバー
  • *3「ゼロデイ攻撃」:ソフトウェアの弱点(脆弱性)が発見されてから、その脆弱性の情報や対策・修正プログラム等が公表される前に行われる攻撃
  • *4「ディレクトリサーバー」:ネットワーク上のユーザーや機器の情報を階層状にまとめ、認証や管理を一元化するための「共通の電話帳」のような役割を果たすサーバー
  • *5「ハッシュ」:データを特定のルールで全く別のデータに変換するもので、一度加工したら元のデータを復元することは困難(パスワードの場合は、変換後のデータがあっても元のパスワードを解読することは困難)
  • *6「可逆暗号化」:特定の「鍵」を使ってデータを暗号化するもので、鍵があれば元のデータを復元できる(パスワードの場合、システムで利用している鍵が判明すると、全てのパスワードが解読可能であるためハッシュよりも安全性で劣るが、ハッシュによる認証が困難な場合などに選択される場合がある)
  • *7「セーフリスト/ブロックリスト」:それぞれ「指定したメールアドレスやドメインからのメールは全て受け入れるリスト」と「指定したメールアドレスやドメインからのメールは全て拒否するリスト」を指す。
  • シェア:

関連記事: