慶應義塾大学湘南藤沢キャンパスの大学院棟会議室予約システムに不正アクセス、のべ6,507名の利用者情報流出

慶應義塾大学湘南藤沢キャンパスは5月7日、同キャンパスの大学院棟会議室予約システムにて学外からの不正アクセスが確認されたと発表した。

これは4月14日午前11時30分頃に、湘南藤沢キャンパスの大学院棟会議室予約システムのトップページの表示が乱れていることを確認し詳細を調査したところ、4月12日に同キャンパスのサーバに外部からの攻撃が判明したというもの。同キャンパスでは、本攻撃を受けログ調査を行ったところ、2020年11月5～6日、12月2日、12月16～17日にも類似の攻撃の発生が発覚し、情報漏えいの可能性が判明した。

漏えいした可能性があるのは、2013年12月20日から2021年4月12日までの間に湘南藤沢キャンパス大学院棟会議室の予約時に、予約情報として登録した延べ6,507件の氏名、電話番号、メールアドレス、所属コード。なお、重複を除いた予約者の氏名は552件で、その内訳は学生337件、教職員が259件（複数身分で申請しているユーザーがいるため重複あり）で、同様に重複を除いた電話番号505件、メールアドレス609件。

同キャンパスでは不正アクセス判明後、4月14日に大学院棟会議室予約システムのサービスを停止、関係省庁・機関へ被害報告を行うとともに、5月6日に対象者に個別連絡している。また同キャンパスでは調査結果より、大学院棟会議室予約システムに存在していた脆弱性を悪用されたことが主な原因と推測している。

なお、慶應義塾大学湘南藤沢キャンパスは2020年11月10日に、同キャンパスの情報ネットワークシステム（SFC-CNS）および授業支援システム（SFC-SFS）に対し、外部からの不正アクセスと授業支援システムの脆弱性を突いた攻撃で利用者の個人情報が漏えいについて公表している。

同キャンパスでは今後、Webアプリケーションの脆弱性チェック体制のさらなる整備等、再発防止に取り組むとのこと。