20日(木)15:00ごろ、湘南藤沢ITCは全CNSアカウント宛にパスワード変更を促すメールを送信した。理由は、パスワードを含む個人のアカウント情報が、学内のPC等で他のCNS利用者から閲覧できる可能性があったためだ。現在はシステム上の問題は解決され、閲覧されてしまう危険性はなくなった。

(無題)

 今回SFC CLIP編集部は、この問題について湘南藤沢ITCの山方崇さん、寺岡丈博さんにお話を伺った。

 山方さんは取材の最初で、今回の件でCNS利用者に心配と迷惑をかけたことを謝罪。現在ITCは問題の詳細や、他に関連したセキュリティ上の問題が無いかを調査している段階。7月上旬までには、より詳細な説明をCNS利用者全員へのメールで送るという。

外部へのパスワード漏洩はない

 今回の問題は、湘南藤沢ITCが設置する端末(メディアセンター1階や特別教室のMacなど)にログインした利用者が、ある特定の操作をすることで、アカウントのパスワードなどが閲覧できてしまう状態だった、というものだ。パスワードがそのまま書かれたファイルが流出した、というようなことではない。

 この「特定の操作」が何なのかについては公表はできないそうだが、知識の無い利用者がうっかり実行できてしまうような種類のものではないそうだ。また、この操作ができるのはCNSアカウント利用者に限られるため、アカウントの情報が外部に漏れる状態になっていたという心配は無い。

 問題への対処は迅速だった様だ。発覚してから12時間以内には最初の対応をして、他人からパスワードが閲覧できてしまうという状況はほぼ解決。その後数日かけて色々なケースの想定・対策を行ったり、学内の他の部署との調整を行うなどをした上で、20日のメールに至った。

 現在も万全の状態にするため、原因などについて調査を行っている。どうやら、最近のシステム変更に伴う問題ではないようで、もっと以前からこの危険は存在していた可能性もある。

 また最近、CNSアカウント宛に届いていた「SFC-CNS Web Mail」を名乗ったメールとの関係は一切ない。このメールのリンクからは絶対にユーザー名、パスワードなどを入力してはならない。今回の問題が原因になって、このメールが送られるようになった、という可能性もないという。

自由に使えるCNSのために

 今回、パスワードの変更が促されているのは、

  1. CNS ログインパスワード
  2. CNS IMAP/SMTP-AUTH(メール) パスワード
  3. CNS IPP(プリンタ) パスワード
  4. CNS 個人ホームページDB(WebDB) パスワード [利用者のみ]
の4つ。学生の中には長くパスワードを変更しておらず、何度もパスワード変更を促すメールを受け取っている人もいるかもしれない。しかし今回は万が一のこともあるので、必ずパスワードを変更しておこう。

 山方さんは、「セキュリティはもちろん万全にしなくてはいけないが、なんでもかんでも制限するのはSFCらしくない。利用者の皆さんが自由に創造性を発揮できるシステム環境のために、今後も努力していきたい」と語っていた。利用者の側でもそんなシステムを維持していくために、協力していこう。