11月祭 学生ポータルに不正アクセス 事務局、個人情報の流出「否定できない」
2024.11.16
PENGUINは、11月祭企画出展などの手続きに例年用いられる学生ポータルサイトで、2024年版は6月15日に公開された。統一テーマの応募や企画出展などにはPENGUINのアカウント作成が必要となる。
事務局によると、不正アクセスが発覚したのは8月25日。公開から同日までの約2か月間に登録された各種データが何者かによって削除された。翌日には事務局が一連の事態を「システム障害」として公表。PENGUINの一部機能が使用できない状態となっている、と説明した。当該データにはアカウント作成者の氏名、学生番号、所属学部・研究科、学年、電話番号、メールアドレス、学外出展者の氏名とメールアドレス、団体登録を行った団体のメールアドレスが含まれる。
事務局が不正アクセスについて公表したのは10月23日。29日にはシステムの復旧を発表した。個人情報を含む当該データが外部に流出した可能性は「完全には否定できない」ものの、23日時点では当該データの不正使用は確認されていないとしている。事務局は、影響を受けた個人・団体には公表と同時刻に個別でメールを送信して謝罪し、「今回の事態を重く受け止め、復旧と再発防止に向けて真摯に取り組んでまいります」とコメントした。なお当該データはバックアップにより完全な状態で保存されているという。また本紙の取材に対し事務局は、不正のアクセス源や影響人数・団体数、法的措置の予定の有無については「セキュリティの観点から回答を差し控える」と回答した。システム障害中にはGoogleフォームを代替として用いられていた企画出展の手続きは、今後PENGUIN上で行われる予定だ。
本紙の取材に対し事務局は、発覚から公表まで約2か月かかった理由として「サーバーは京都大学所有のものであり、不正アクセスに係る情報の公開などについて大学及び関係各所との調整が必要であったため」と答えた。
今回の事案を受けて京大は、全学公認団体を対象にHP開設の有無やその安全性に関する調査を行った。情報セキュリティについての各団体の取り組み状況を把握する目的だという。