事件の概要

  • 大学病院の教職員のメールアカウントが第三者により不正にアクセスされた
  • 海外のIPアドレスから3件のメールアカウントに対し不審なアクセスがあった
  • そのメールアカウント内の個人情報が含まれる電子メールが閲覧された可能性があるとのこと
  • 個人情報には、患者の氏名や診断名のほか、学生や治験関係者の氏名など合わせて416人分の個人情報が含まれている
  • 第三者に不正アクセスされた原因は、ブルートフォースアタック(総当たり攻撃)と呼ばれる方法によりパスワードが解除されたことによる

コメント(課題・問題点・防止策等)

  • メールアカウントの場合、IDはメールアドレスの場合が多く、防御するとすればパスワードになります。
  • ブルートフォースアタックに対しては、少なくとも、アンダーバーなどの記号が含まれた複雑なパスワードにしておけば、単純な英数字だけに比べると、格段にセキュリティレベルが上がります。
  • 今回のパスワードがどの程度のものだったのか分かりませんが、一度設定するだけでよいので、超複雑なパスワードにするルールにしていてもいいのではと思う。
  • メールアカウント内に、いつまでもデータを残しておくのもリスクがあるなあと思いつつ、実際は残していることが多いだろうなあ。メールの削除ルールも決めておかなければならないのかな。ただ、1年以上前のメールを参照することもありますので難しいかも。
  • また、gmailなどのクラウド型のメールになると、セキュリティレベルは高いものの、IDとパスワードが分かっただけで、情報を閲覧されてしまいますので、重要な貼付ファイルの送信は自社のメールアドレスを使用するほうがいいですね。

【名古屋大学大学院医学系研究科・医学部医学科】公表資料 名古屋大学への不正アクセスによる個人情報流出について 2022.02.24

Top > ニュース&イベント > 重要 > 名古屋大学への不正アクセスによる個人情報流出について

名古屋大学への不正アクセスによる個人情報流出について

この度、東海国立大学機構名古屋大学医学部附属病院の教職員のメールアカウントが第三者により不正にアクセスされ、個人情報が含まれる電子メールが閲覧された可能性がある事案が確認されましたので、現在の状況と今後の対応についてお知らせします。

実在する本学医学部附属病院の教職員のメールアドレスを騙った不審なスパムメールが送付された旨の報告が当該教職員よりあったため、調査を行った結果、海外のIPアドレスから、当該教職員のアカウントを含め、3件のアカウントに対し不審なアクセスが確認されました。不審なアクセスは、令和3年3月から同年9月末までの間であり、アクセスされた時点で、当該メールサーバには、患者184名の「ID」、「氏名又は生年月日・性別」、「診断名」、「術式」、「手術日」、「術者」、講義を受講した医学部学生等140名の「氏名」、「学籍番号」、部活動に参加した医学部学生44名の「学年」、「氏名」、「検査結果」、共同研究者及び治験関係者34名の「氏名」、「所属」、「電話・FAX又はメールアドレス」、附属病院教職員14名の「氏名」等の個人情報が記載されたファイルが添付されたメールが存在していたことが分かりました。

不審なアクセスの報告を受けた日に、当該教職員のPCのネットワークからの遮断及びアンチウイルスソフトでのフルスキャン並びにメールアカウントのパスワード変更を指示し、現時点では、閲覧された可能性のある電子メールの内容が悪用された事実は認められておりません。
電子メールに添付されていたファイルに氏名が記載されていた患者、学生、共同研究者、治験関係者及び附属病院教職員の方々には、文書にて事実関係をご説明するとともに、対応窓口の設置及びその連絡先をお伝えし、お詫び申し上げたところです。

このような事態を招き、関係者の皆様にご迷惑をおかけしましたことを深くお詫び申し上げます。
第三者に不正アクセスされた原因は、ブルートフォースアタック(総当たり攻撃)と呼ばれる方法によりパスワードが解除された事であることがわかっております。今後は、総当たり攻撃からの防壁の強化、多要素認証導入を検討するとともに,個人情報保護や情報セキュリティの確保に関する教育研修を強化し、構成員の意識向上を図るなど、再発防止に努めて参ります。

https://www.med.nagoya-u.ac.jp/medical_J/news/important/2022/02/24161203.html
目次

ニュース記事の紹介

※下記に紹介している記事や動画は時間の経過とともに削除される場合がありますのでご了承ください。また、新しいニュースがあれば追加します。

【CBCテレビ】名大病院の医師に不正アクセス 患者らの情報流出可能性 (22/02/25 07:17)2022/02/25

東海地方のニュース【CBC news】
名大病院の医師に不正アクセス 患者らの情報流出可能性 | 東海地方のニュース【CB...
https://hicbc.com/news/article/?id=2022022504
名古屋大学は名大病院の医師が不正アクセスを受け、患者ら400人以上の個人情報が流出した可能性があると明らかにしました。名古屋大学によりますと、去年3月から9月までの間、名古屋大学医学部附属病院の...
Yahoo!ニュース
名大病院の医師に不正アクセス 患者らの情報流出可能性(CBCテレビ) - Yahoo!ニ...
https://news.yahoo.co.jp/articles/81a34338d5fdd62a76bb80cb0a9734716dd0be86
 名古屋大学は名大病院の医師が不正アクセスを受け、患者ら400人以上の個人情報が流出した可能性があると明らかにしました。 名古屋大学によりますと、去年3月から9月までの間、名古屋大学医学部附属病

名大病院の医師に不正アクセス 患者らの情報流出可能性
社会
2022/2/25(金)
 名古屋大学は名大病院の医師が不正アクセスを受け、患者ら400人以上の個人情報が流出した可能性があると明らかにしました。

 名古屋大学によりますと、去年3月から9月までの間、名古屋大学医学部附属病院の医師3人のメールに不審なアクセスが確認されたということです。

 3人のメールサーバーには患者の氏名や診断名のほか、学生や治験関係者の氏名など合わせて416人分の個人情報が含まれていました。

 名古屋大学は個人情報が流出した可能性のある人に説明し謝罪したということです。

https://hicbc.com/news/article/?id=2022022504

【NHK東海 NEWS WEB】名大病院 不正アクセスで400人の個人情報流出か 02月24日

NHK NEWS WEB
 
名大病院 不正アクセスで400人の個人情報流出か|NHK 東海のニュース
https://www3.nhk.or.jp/tokai-news/20220224/3000021116.html
名古屋大学医学部附属病院で複数の教職員のメールアカウントに外部から不正にアクセスされ患者や学生などあわせておよそ400人の個人情報が流出し…

東海 NEWS WEB
名大病院 不正アクセスで400人の個人情報流出か
02月24日 20時01分

名古屋大学医学部附属病院で複数の教職員のメールアカウントに外部から不正にアクセスされ患者や学生などあわせておよそ400人の個人情報が流出した可能性があることがわかりました。

名古屋大学によりますと去年10月、医学部附属病院の教職員のメールアカウントから不審なスパムメールが送られていたことがわかり、調査した結果、去年3月から9月までの間、3人の教職員のメールアカウントに外部から不正にアクセスされていたことが確認されたということです。
この間、これらのメールアカウントのサーバー上には教職員が送受信した添付ファイルが残されていて、このなかに患者の氏名や診断名、手術の情報などのほか、学生の氏名や学籍番号、共同研究者や治験関係者の名前や所属などあわせて416人分の個人情報が記載されていたということです。
このため大学ではこれらの情報が流出したおそれがあるとして、対象の患者などに事実関係を報告し謝罪したということです。
名古屋大学ではこれまでのところ個人情報の悪用は確認されていないとしていますが、「関係者の皆様に深くおわび申し上げます。今後は個人情報保護や情報セキュリティーの確保に関する教育研修を強化し、再発防止に努めて参ります」とコメントしています。

https://www3.nhk.or.jp/tokai-news/20220224/3000021116.html

【ITmedia NEWS】名古屋大学附属病院に不正ログイン 患者の氏名、診断名、手術日など流出の恐れ 2022年02月26日

ITmedia NEWS
 
名古屋大学附属病院に不正ログイン 患者の氏名、診断名、手術日など流出の恐れ
https://www.itmedia.co.jp/news/articles/2202/26/news062.html
名古屋大学医学部付属病院の教職員のメールアカウントが不正ログインを受け、個人情報を含むメールが流出。患者や医学部生、研究者の個人情報が閲覧される恐れがある。
Yahoo!ニュース
名古屋大学附属病院に不正ログイン 患者の氏名、診断名、手術日など流出の恐れ(I...
https://news.yahoo.co.jp/articles/e311db975ee21038e03f4d5bbec70cb681151373
 名古屋大学は2月24日、医学部附属病院の教職員のメールアカウントが不正ログインを受け、個人情報を含むメールが流出した可能性があると発表した。患者や医学部生、研究者の個人情報が閲覧される恐れがあるが

名古屋大学附属病院に不正ログイン 患者の氏名、診断名、手術日など流出の恐れ
2022年02月26日 13時45分 公開
[ITmedia]
 名古屋大学は2月24日、医学部附属病院の教職員のメールアカウントが不正ログインを受け、個人情報を含むメールが流出した可能性があると発表した。患者や医学部生、研究者の個人情報が閲覧される恐れがあるが、同日までに情報の悪用は確認されていないとしている。

photo
 教職員のメールアドレスをかたったスパムメールが送付されていると、そのアカウントのその教職員から報告を受け、事態が発覚。調査の結果、2021年3月から9月にかけて、その教職員のものを含むアカウント3件に海外から不正アクセスがあったと分かった。

 メールサーバには、患者184人の氏名やID、生年月日、性別、診断名、術式、手術日、術者などの情報、医学部生のべ184人の氏名、学年、学籍番号、検査結果、病院関係者延べ48人の氏名、所属、電話番号、メールアドレスなどが保存されていた。

 名古屋大学は、報告を受けた当日に当該職員のPCをネットワークから遮断。アンチウイルスソフトでPC内をスキャンした上で、メールアカウントのパスワードを変更した。情報流出の可能性がある対象者には、状況の説明と対応窓口の案内を送信済み。

 同大によると、攻撃手法はパスワードを総当たりで探る「ブルートフォース攻撃」によるものという。今後は総当たり攻撃への対策強化、多要素認証の導入を検討。職員に対しては研修を強化し、個人情報保護や情報セキュリティに関する意識向上を図るとしている。

https://www.itmedia.co.jp/news/articles/2202/26/news062.html

【読売新聞】名古屋大医学部の教職員メールに不正アクセス、患者184人の個人情報が閲覧された恐れ 2022/02/25

読売新聞オンライン
名古屋大医学部の教職員メールに不正アクセス、患者184人の個人情報が閲覧され...
https://www.yomiuri.co.jp/national/20220224-OYT1T50214/
名古屋大は24日、医学部付属病院の教職員が使っている電子メールアカウントに不正アクセスがあり、患者184人などの個人情報を含むメールが閲覧された恐れがあると発表した。 実在する職員を装った不審なメールが送信されていたた
Yahoo!ニュース
名古屋大医学部の教職員メールに不正アクセス、患者184人の個人情報が閲覧され...
https://news.yahoo.co.jp/articles/b611143051fbe45fdacfadc90f9c2c64c50b81a8
 名古屋大は24日、医学部付属病院の教職員が使っている電子メールアカウントに不正アクセスがあり、患者184人などの個人情報を含むメールが閲覧された恐れがあると発表した。

名古屋大医学部の教職員メールに不正アクセス、患者184人の個人情報が閲覧された恐れ
2022/02/25 00:01
この記事をスクラップする
 名古屋大は24日、医学部付属病院の教職員が使っている電子メールアカウントに不正アクセスがあり、患者184人などの個人情報を含むメールが閲覧された恐れがあると発表した。

 実在する職員を装った不審なメールが送信されていたため、同大が調査したところ、昨年3~9月、複数の教職員のアカウントに海外のIPアドレスから不正なアクセスがあったことを確認。このうち3人のアカウントのメールには、患者の氏名や病名などが記載されたファイルも含まれていた。数字などを手当たり次第に入力する方法で、パスワードが解除されたとみられるという。

https://www.yomiuri.co.jp/national/20220224-OYT1T50214/
カテゴリー
情報セキュリティ個人情報
タグ
前の記事
商工会・商工会議所の最近の不祥事事例(コンプライアンス研修で紹介)
2022年2月20日
次の記事
メタップスペイメント「会費ペイ」で不正アクセスによるカード情報の流出(2022年1月・2月)
2022年2月28日