シドニー大学は、オンラインのコードリポジトリの一つに保管されていた過去の個人データを攻撃者が持ち去ったことを認め、現職および元職員・学生数千人に連絡を取っている。
12月18日に公開されたメッセージで、シドニー大学のオペレーション担当副学長ニコール・ガワー氏は、先週「当大学のオンラインITコードライブラリの一つで不審な活動」があったとの通報を受けたと述べた。
これを受けてシステムを緊急ロックダウンしたという。リポジトリはソフトウェア開発用のはずだったが、ガワー氏は「このコードライブラリには、コミュニティの一部のメンバーに関する個人情報を含む過去のデータファイルも存在していた」と認めた。
大学は、この事案は前日に報じられた別の学生成績に関する問題とは無関係であり、現時点でデータが悪用された兆候はないと強調した。
併載のFAQによると、侵害されたシステムに含まれていたのは、稼働中の本番データベースではなく、過去の開発作業でテストに使用された過去データの抽出物だった。
当局者は、不正アクセスは単一のプラットフォームに限定され、他の大学システムには影響がなかったと述べた。それでもファイルはアクセスされダウンロードされており、大学は外部のサイバーセキュリティパートナーを招へいするとともに、捜査が新年に持ち越される中で政府当局にも通知している。
大学の推計では、アクセスされたデータには、現職の職員および関係者約1万人分、ならびに2018年9月4日時点で在籍していた元職員および関係者約1万2,500人分の個人情報が含まれる。さらに、2010年から2019年にまたがる過去のデータセットには、約5,000人の卒業生および学生に紐づく記録に加え、支援者6人分も含まれている。
今回の事案に関与した退役済みシステムの一つに紐づく職員については、漏えいした情報に氏名、生年月日、電話番号、自宅住所、役職名や雇用期間などの基本的な雇用情報が含まれる可能性がある。ガワー氏は「データはアクセスされダウンロードされた」と確認する一方で、「使用または公開された証拠はない」と主張した。
シドニー大学は12月18日から影響を受けた個人への通知送付を開始したとしつつ、ファイルの精査と連絡先情報の確認を終えるまで、手続きは2026年1月まで長引く見込みだと警告した。同大学は、特定されたデータセットをコードライブラリから削除し、プライバシー・レジリエンス・プログラムの下で追加の是正措置を評価しているという。
大学は現時点で被害の証拠はないとしているが、この出来事は、長らく忘れ去られていたデータが後になって牙をむくことがあるという、また一つの警鐘だ。 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/12/19/sydney_uni_breach/
