業務用コンピュータに不正侵入。
情報システム部門の私としては、目が話せないニュースです。
セキュリティは情報システム部門だけの問題ではないことを、わかっていただきたい。
何気なく休み時間にみているホームページがきっかけで事務局のネットワーク全体がやられてしまうことだってあるかもしれません。
(internet.com)ボストン大学 は18日、学内業務用コンピュータの1台に不正侵入があったことを発見したため、そのコンピュータを直ちにオフラインにして外部からのアクセスを絶ち、セキュリティを確保したと発表した。
同大学の広報担当 Jack Dunn 氏によると、侵入を受けたコンピュータは、同窓生からの寄付集め用データベースに直結したものだったという。
Dunn 氏は次のように述べている。「幸いなことに、問題のコンピュータ上の情報へのアクセスは一切なかった。科学的捜査の結果、クラッカーはインターネット上の他のコンピュータを攻撃しようと、本校のシステムを踏み台に使おうと試みていたに過ぎないと判明した」
問題のコンピュータは、管理を業者に委託していたものだが、Dunn 氏は委託先名の公表を拒んだ。調査の結果、このマシンには最新のパッチが適用されていなかったことが分かったという。
同大学は、このマシンを直ちにオフラインにし、そこに保存していた社会保障番号データを削除した後、(委託先業者ではなく) 大学独自のファイヤーウォール内に移した。そして、Web サイトで同事件について公表するとともに、個人情報漏洩を心配する同窓生のために専用サイトおよび専用電話を開設している。
この事件をきっかけに、同大学は在校生および同窓生の識別方法について再検討を始めた。社会保障番号は個人識別にもっとも便利ではあるが、唯一の手段というわけでもない。別の方法で同窓生を把握している学校も多数ある。在校生の把握方法についても同様だ、と Dunn 氏はいう。
同氏は次のようにも述べている。「社会保障番号の利用を止めれば、今後も問題になる可能性は低くなる。現在検討しているのは、セキュリティ強化のために、学内のあらゆるデータベースから社会保障番号データを削除することだ」
Dunn 氏によると、同校では IT 担当部門が、社会保障番号を使わない個人識別方法、たとえば英数文字を組み合わせた ID の発行などを検討中だという。
(2005/03/22)
