| 会社名 | 慶應義塾大学 |
|---|---|
| 株式情報 | 非上場 |
| 漏洩種別 | 流出 |
| 漏洩対象 | サーバ |
| 漏洩場所 | 社外 |
| 漏洩内容 | 氏名/メールアドレス/パスワード |
| 漏洩件数 | 7,472件 |
| 漏洩日時 | 2025/11/26 |
| 発表日時 | 2025/12/26 |
慶應義塾大学にて不正アクセスにより個人情報が流出の恐れ。同大は湘南藤沢キャンパスが利用するメールシステムにおいて、スパムメール隔離サーバとして利用している機器上で動作するソフトウェアに対してゼロデイ攻撃が行われ、隔離サーバが参照していたディレクトリサーバから、現在SFC-CNSを利用している学生および教職員の個人情報のほか、2025年9月卒業生および2025年8月28日以降にアカウントを停止したユーザーの個人情報、加えて、2025年3月卒業生のメールアドレスが流出した可能性があることが判明した。
スパムメール隔離サーバで不審な通信が確認されたことから、侵入経路を封鎖するとともに、機器メーカーであるシスコシステムズ合同会社へ情報提供。調査の結果、ゼロデイ攻撃が行われた可能性があることが判明し、更なる調査の結果、ディレクトリサーバ上の情報が流出した可能性があることが判明した。また、スパムメール隔離サーバ上の情報についても、流出の可能性があるとしているが、転送されたデータ量からスパムメール隔離サーバー上の情報が流出した可能性は低いと判断している。なお、メール用パスワードはハッシュ化されており、Wi-Fi用パスワードは可逆暗号化されている。同学は監督官庁ならびに関係機関、警察へ報告を行っており、更なる不正アクセスを防ぐため、全アカウントのメールパスワードおよびログインパスワードの強制リセットを実施。今後、フィッシングメールが送信される可能性があることから、不審なメールに注意を呼び掛けており、他サービスでも同じパスワードを使用している場合には速やかに変更するよう呼び掛けている。なお、現時点において、本件による二次被害は確認されていない。