春雨直播app

慶應義塾
English
English

不正アクセスによる个人情报漏洩の可能性についてのお知らせとお诧び

公开日:2025.12.26
広报室

现在、学外からの不正アクセスにより、湘南藤沢地区の厂贵颁-颁狈厂メールサービス(*1)において、利用者のメールアドレスやパスワード等が漏洩した可能性が高いことが判明しております。さらなる不正アクセス防止のため、全アカウントのメールパスワード强制リセットを12月23日に、ログインパスワードの强制リセットを12月25日に行いました。さらに必要な対応に最优先で取り组んでまいります。

関係者の皆様には、多大なるご迷惑とご心配をおかけしておりますことをお诧び申し上げます。

■経纬概要

2025年11月26日に、不审な通信が湘南藤沢キャンパスのメールシステムのスパムメール隔离サーバー(*2)から発生していることが判明しました。同日中に侵入経路を封锁し、スパムメール隔离サーバーとして利用している机器のメーカーであるシスコシステムズ合同会社に情报を提供しました。调査を进めた结果、同机器上で动作しているソフトウェアの未知の脆弱性を利用して不正アクセスされた可能性が高いことが、12月18日に判明しました(いわゆる「ゼロデイ攻撃」(*3))。

さらに调査を行った结果、スパムメール隔离サーバーが参照していたディレクトリサーバー(*4)から、个人情报を含むデータが外部へ漏洩した可能性があることが12月22日に判明いたしました。なお、现时点では漏洩した可能性があるパスワード等を用いた二次被害は确认されておりません。本件に関して、监督官庁?関係机関および警察への被害の报告も适切に行っております。

■ご注意とお愿い

本件に関连して、今后フィッシングメールやスパムメール等が送付される二次被害が発生する可能性があります。不审なメールを受信された际は、安易にリンクをクリックしないようにするなど、十分にご注意くださいますようお愿い申し上げます。

また、今回漏洩した可能性のあるパスワードを他のサービスでも利用されている场合は、不正ログイン等の二次被害を防ぐため、当该パスワードを直ちに変更していただきますよう重ねてお愿い申し上げます。

■漏洩した可能性のある情报

この度の厂贵颁-颁狈厂メールサービスへの不正アクセスによって、漏洩した可能性が现在判明している情报は次のとおりです。

●漏洩がほぼ确実なデータ:ディレクトリサーバー上の情报

?現在SFC-CNSを利用しているユーザー(学生、教員、職員、その他)と2025年9月卒业生、および2025年8月28日以降にアカウントを停止したユーザーの計6,447件

◆ メールアドレス

◆ ログイン用パスワードのハッシュ(*5)

◆ メール用のパスワード(平文)

◆ Wi-Fi用のパスワード(可逆暗号化)(*6)

◆ 漢字氏名

◆ アルファベット氏名

◆ 学籍番号 または 教職員番号

◆ 転送先メールアドレス

◆ その他、システムで用いる各種データ

?2025年3月卒业生 計1,025件(氏名やパスワードなどのデータは含まれていません)

◆ メールアドレス

●漏洩の可能性があるデータ:スパムメール隔离サーバー上の情报

? 隔離されたメール総数(多くがスパムメール):最大222,508通(隔離サービス利用中のメールアドレス数984)

?セーフリスト/ブロックリスト(*7)に載っているメールアドレス、ドメイン数: 最大1,613件(重複を除くと1,102件)??

ただし転送されたデータの量から推定して、スパムメール隔离サーバー上の情报が大量に流出した可能性は低いと判断しております。

ご不明な点がございましたら下记问い合わせ窓口までお问い合わせくださいますようお愿い申し上げます。

(本件に関するお问い合わせ先)

慶應義塾不正アクセス問い合わせ窓口 (メールアドレス)
m-contact@adst.keio.ac.jp

用语解説:

*1「SFC-CNSメールサービス」:湘南藤沢キャンパスが学生?教職員に提供する独自のネットワークシステム(Shonan Fujisawa Campus - Campus Network System)におけるメールサービス

*2「スパムメール隔离サーバー」:スパムメールと自动判定されたメールを、判定间违いなどに备えて一定期间保存しておくためのサーバー

*3「ゼロデイ攻撃」:ソフトウェアの弱点(脆弱性)が発见されてから、その脆弱性の情报や対策?修正プログラム等が公表される前に行われる攻撃

*4「ディレクトリサーバー」:ネットワーク上のユーザーや机器の情报を阶层状にまとめ、认証や管理を一元化するための「共通の电话帐」のような役割を果たすサーバー

*5「ハッシュ」:データを特定のルールで全く别のデータに変换するもので、一度加工したら元のデータを復元することは困难(パスワードの场合は、変换后のデータがあっても元のパスワードを解読することは困难)

*6「可逆暗号化」:特定の「键」を使ってデータを暗号化するもので、键があれば元のデータを復元できる(パスワードの场合、システムで利用している键が判明すると、全てのパスワードが解読可能であるためハッシュよりも安全性で劣るが、ハッシュによる认証が困难な场合などに选択される场合がある)

*7「セーフリスト/ブロックリスト」:それぞれ「指定したメールアドレスやドメインからのメールは全て受け入れるリスト」と「指定したメールアドレスやドメインからのメールは全て拒否するリスト」を指す。

以上

お知らせ