長崎県立大学は7月21日、2023年8月22日に公表した同学が利用するeラーニングシステム manabie への不正アクセスについて、調査結果を発表した。
同学では2023年8月4日午前9時16分頃に、同学が利用するeラーニングシステム manabie が不正アクセスを受けている旨の情報提供があり、調査した結果、同システムが第三者による不正アクセスを受けたことでサーバに保管されていた個人情報が流出した可能性が判明していた。
同学によると、同システムのプログラムは一般公開されているプログラムを基に構築していたが、今回の不正アクセスではオープンソースの e-ラーニングプラットフォーム「Chamilo」の2023年8月1日に公開された脆弱性「CVE-2023-34960」を悪用し同システムに侵入したという。 2023年8月3日午後1時前後に、Chamiloの脆弱性を利用して、外部に公開するデータを格納している場所に下記2つのファイルが設置されている。
1.readme.txt:readme.txt にはインドネシア語で「ハッキングした」という意味の文章が記述されていた。
2.404.php:404.php は、攻撃者がブラウザからシステムを操作するプログラムで、1.の readme.txt を設置するために使用されたと推測される。
同学では、同システムの運用を外部に委託していたが、委託先に対する監督が不十分であったことが問題であったとしている。
外部の専門機関の調査の結果、情報漏えい等の痕跡は確認されなかったが、個人情報漏えいのおそれがあることを在校生および卒業生に連絡し、個人情報漏えいが疑われる場合は連絡するよう依頼している。
同学では、不正アクセスのあった同システムを廃止している。
同学では不正アクセスの可能にした要因を踏まえ、下記の対応を実施するとのこと。
・一般利用されているプログラムの脆弱性情報収集と、同学で管理するシステムの定期的な脆弱性診断
・システムをより安全に運用していくための委託契約スキームの見直し及び委託業者の監督強化
・不正アクセス等を早期に発見し、適切に対応して早期に回復するための初動マニュアルの整備や不正アクセス等の発生を想定した適切な体制づくり
・全教職員を対象とした情報セキュリティに関する実効性のある教育・訓練の実施