「 3分でわかる情報セキュリティ 」について
杏林学園の全教職員を対象とした、情報セキュリティ強化のための連載です。患者・学生・教職員の情報を守るため、閲覧の程よろしくお願いいたします。また、周りの教職員への周知にご協力いただければ幸いです。全記事と詳細は こちら から読むことができます。お問い合わせは総合情報センター(井の頭6232)まで。

本連載では、サイバー攻撃、フィッシング詐欺、サポート詐欺等を紹介してきました。このような最新脅威への対策を図ることは重要ですが、そればかりに目を向けていると、基本的な対策を怠ることがあります。その重要性を思い知らされるインシデントが2025年10月にある大学で発生しました。
今回は、教職員にとって「身近な脅威」を示す重要な教訓として上記インシデントを紹介します。大変シンプルかつ日頃から注意すべきポイントが含まれており、そのポイントを守ることが研究室や事務室等での情報セキュリティインシデント発生の防止につながります。

インシデントの概要

  • 発生日時
    2025年10月6日夜
  • 場所
    大学院情報科学研究院の研究室
  • 経緯
    所属不明の「学生風の人物」が、ログイン状態のまま放置されていた研究室のパソコンを操作。学生が発見し問いただすと「頼まれた」と説明して退室。その後の調査で、共有ファイルのダウンロード痕跡やUSBメモリ接続の記録が確認された
  • 漏えいの可能性がある情報
    卒業・修了・中退した元学生106名分の個人情報(年度、氏名、学位、就職先)
  • 対応状況
    大学は警察に相談し、入室管理やアクセス制御の強化を進めている
概要

注意喚起ポイント

  1. 機器の管理
    • 離席時は必ずPCをロックする
    • 共有PCや研究室内の端末にはパスワードを設定し、権限を定期的に見直す
    • USBメモリや外部媒体の利用を制限する
機器の管理
  1. 入室の管理
    • 入退室の台帳を作成する等、入室者の確認を徹底し、不審者を見かけたら声をかける
      ※当該事案では声かけが実践されたことにより、被害拡大を防いだと考えられる
    • 切迫している状況で声をかけることが難しければ警備室等に報告する
入室の管理
  1. 個人情報の取り扱い
    • ファイルにはパスワードを付与
    • 不要な個人情報は削除・匿名化
    • バックアップは暗号化して安全に保管
個人情報の取り扱い
  1. その他
    • プリンターに印刷物を出しっぱなしにしない
    • ホワイトボードは退室時に必ず消す
    • PC・スマホなどの画面を覗き見されない
    • 業務について会話する際は、職場の内外問わず周囲の環境に注意する
    • 離席時には、機密文書を第三者に容易に閲覧されないように机上にそのまま置かない
その他

教訓と再発防止

この事案は「ちょっとした油断」が重大な漏えいにつながることを示しています。

  • サイバー攻撃だけでなく、物理的な侵入にも注意が必要
  • 情報管理は一人ひとりの習慣がカギ
  • 大学全体でセキュリティ意識を共有し、継続的に教育・訓練を行うことが不可欠

まとめ

この事案は、「ログイン状態の放置」「入室管理の甘さ」が情報漏えいにつながることを示しました。サイバー攻撃とは違い、人が研究室に侵入して研究室内のPCを直接操作し、情報を盗み出すという非常にシンプルでアナログ的な手法でインシデントが発生しています。
教職員一人ひとりが日常業務の中で、PCロック・施錠・パスワード管理を徹底し、組織全体でセキュリティ意識を高める必要があります。技術ではなく人の心理を悪用して情報を盗む攻撃への対策も忘れてはいけません。

参考用語

「ソーシャルエンジニアリング」
人間の信頼・不注意・思い込みを悪用して、パスワードや個人情報を騙し取る手口の総称。
“学内・院内の人”を装って近づく場合も多い。

ソーシャルエンジニアリングを利用した攻撃手法

代表例概要具体例
フィッシング
(Phishing)		実在の組織を装い、偽メールや偽サイトを用いてID・パスワード、個人情報を入力させる学事システムやクラウドサービスに似せた偽サイトからアカウント乗っ取り、個人情報漏えい、金銭的被害が発生する
プリテキスティング
(Pre-texting)		攻撃者が信頼性を装い、巧妙な口実で警戒心を薄れさせ、緊急性も煽ることで、個人情報を引き出す「システム障害が発生した」などと教職員を装って連絡し、確認するという名目でID・パスワード、個人情報を引き出す
ベイティング
(Bating)		好奇心を煽り、メディア機器などを操作させたり、ネット広告をクリックさせたりして、ウイルスに感染させる研究室や共用パソコン付近に落とし物を装ったUSBメモリを置き、それを拾った人が誰のものか確認するためにPCに接続するとマルウェアがインストールされる
インパーソネーション
(Impersonation)		教職員・業者になりすまし、建物やシステムに侵入し、不正操作を行ったり、業務の指示を出したりする物理的に研究室に侵入する他に、経営幹部(学長等)を名乗り、経理担当者に緊急の送金や機密情報の共有をメール等で指示する
ショルダーハッキング
(Shoulder Hacking)		背後から画面・キーボード入力を盗み見るカフェや電車等で、他人のPC・スマホの画面、キーボードの指の動きからパスワード・機密情報を盗難する
トラッシング(Trashing)ごみ箱に捨てたメモ・付箋、ごみ集積所の書類・USBメモリ・ハードディスクから情報を取得するごみ漁りから得た氏名・電話番号・内部情報を足がかりに不正ログインによる攻撃等を仕掛ける