首都大学東京は、同大学内で利用している NAS が外部から自由に FTP アクセス可能な状態になっていたと発表した。NAS 内には学生、教員、学外関係者の氏名や住所、電話番号、修得単位数、TOEIC スコア、GPA(Grade Point Average)といったデータが保存されており、こうした情報が流出した恐れがある。流出被害が考えられる対象者の延べ人数は約5万1,000人。

首都大学東京で5万人超の情報が外部アクセス可能に、原因は買ったまま設置した NAS の ID/パスなし FTP
問題を報告する首都大学東京の Web ページ
(出典:首都大学東京)

同大学は、1月1日に情報提供メールが送られていたことを1月5日に認識し、調査を実施して問題を発見した。それによると、東京南大沢キャンパスの管理部教務課事務室内に設置していた NAS が、2014年8月22日から ID およびパスワードなしで外部から FTP アクセスできる設定になっていたという。つまり、誰でも自由に NAS 内のファイルにアクセスし、持ち出せる状態だったのだ。さらに、これらのファイルの多くは、パスワードによるアクセス制限もかけられず NAS に保存されていた。外部から閲覧可能だったデータは以下の通り。


・「英語クラス編成試験」に関する氏名、TOEIC スコア:約1万5,000人分
・「入学手続予定者」の氏名、住所、電話番号、生年月日:約1万人分(学外1,500人分)
・教員(非常勤教員を含む)の氏名、住所、メールアドレス:約9,000人分
・「2年次修了判定」にかかる氏名、修得単位数、GPA:約5,100人分
・「1・2年生コース決定」に関する氏名、電話番号:約4,900人分
・教職課程履修者の氏名、生年月日、電話番号:約3,300人分
・「教員免許状更新講習受講者」の氏名、住所、電話番号、生年月日:約400人分(学外)

同大学によると、この NAS は初期設定で自由に FTP アクセスできる状態となっており、購入後に設定変更せず設置したため今回の問題につながったという。問題を発見した直後に FTP 共有機能を無効化したので、外部から FTP 接続によるアクセスは行えなくなった。しかし、現在もインターネットに接続されているようなので、FTP 以外のプロトコルによる攻撃への対策が施されたかどうかは不明だ。

発表時点で同大学は、NAS 内の情報が悪用されたとの報告や、被害の発生を確認していないとした。ただし、電話用の「お問合せ窓口」を開設し、関係者からの問い合わせに対応する。

なお、首都大学東京は、2005年4月に東京都立大学、東京都立科学技術大学、東京都立保健科学大学、東京都立短期大学という4つの都立大学が再編、統合されて誕生した大学である。