首都大学東京によると、同大学都市教養学部人文・社会系社会学コース社会福祉学教室の管理する NAS(ネットワーク接続ストレージ)が踏み台にされ、学外に多量のメールが送信された。

同大学は、緊急対応として、南大沢キャンパスにおける学外からの通信を2月2日に遮断した。また、事故発見後、すみやかに警察に被害状況を報告、対応を相談したという。

首都大学東京では、今後、ネットワーク接続機器への外部からの不正アクセス防止と、個人情報の取扱いに関して、対策を強化する意向を表明している。

踏み台にされた NAS には、一部個人情報も格納されていたが、現時点で行われた学内調査では、これらに対する不正アクセスの形跡は認められていないという。

事故が発覚したのは1月27日。16時、社会福祉学教室の管理する NSA から多量のスパムメールが送信されていることを、学術情報基盤センターが検知、直ちに NAS をネットワークから切り離し、被害状況などを調査した。

スパムメールは、15時6分から16時37分の間に約10万通送信されていた。この NAS は、FTP 共有を無効にするなど、外部からのアクセスを制限していたが、管理者パスワードは初期値のままだった。また、格納していた個人情報を含む電子データの多くには、パスワードなどによるアクセス制限をかけていなかったという。

格納されていた個人情報は、主に所属の学生・教員の住所・氏名・電話番号など、延べ650人分。

学内の調査では、1月22日以降、外部からアクセスされた形跡は認められなかったが、より詳細なアクセス情報については、専門業者に依頼して調査を行っている。また、現在まで、個人情報が悪用されたという報告はなく、被害も確認されていない。

ところで、首都大学東京は、1月19日にも、NAS が外部から自由に FTP 接続できる状態になっており、学生や教員などの個人情報が流出した恐れのあったことを発表している。今回問題になった NAS は、この事件後、FTP 共有を無効にしただけだったのだろうか。