同サイトでは「本院教職員業務用PCへの不正アクセスを起因とする個人情報の漏えいについて(ご報告とお詫び)」と題し、「2024年9月7日(土)、本院職員が利用している業務用パソコンが外部の攻撃者により不正利用され、本院保有個人情報(7,085件)の漏えいが発生いたしました」と報告。
同サイト記載の詳細によると、本事案は9月7日に発生し、同月9日に発覚。「本院職員が利用している業務用パソコンがランサムウェア感染し、共有ドライブから業務データが不正にダウンロード(窃取)され個人情報が漏えいし、その後関連データと被害PCが利用不可能となりました」と概要を伝えた。
続けてその後の対応について、被害拡大を防止するため、(1)被害職員を特定し、利用中の対象機器をネットワークから隔離、(2)被害職員のアカウント停止及びパスワード強制変更を実施。「その後の調査において、被害職員アカウントによる学内各種システム不正利用の形跡は確認されませんでした」と報告した。
「個人情報漏えい対象者・データ項目・件数」について、【学外者】ではシステム構築・運用に関わる外部企業(システム関連企業)関係者で41社119人。システム構築体制表等に記載の関係者氏名、電話番号、メールアドレスなどが漏えいしたという。
また、学内では、東北学院大学の学部学生(卒業生等含む)で3490人(うち、成績情報漏えい対象者:3071人)。学生番号、成績情報(2023年度開講の1科目)、メールアドレス、氏名が漏えいしたというが、「個人と成績情報が直接紐づく情報は漏洩していません」としている。
さらに同校教職員は、東北学院 法人事務局及び設置学校に属する教職員が対象となり、教職員番号、氏名、一部メールアドレスが3476件漏えいしたという。
これらの原因について、同校は「学外からアクセス可能なネットワークに設置していた被害PCが、外部攻撃者の標的となり、ユーザーIDとパスワードを窃取されて不正侵入を受けたもの」としており、二次被害は今のところ確認されていないというが、二次被害の恐れとして「メールアドレスが漏えいした方については、迷惑メール等の受信が増加する可能性がございます」としている。
同校は最後に、「本事案により、個人情報を窃取された皆様に、深くお詫び申し上げます。 現在、個人情報を窃取された方へ個別に謝罪・説明のご連絡を実施しております(対象者の方には、11月8日(金)までにご連絡を差し上げます)」と謝罪。「本院としてこの事態を重く受け止め、ファイアウォールの設定強化等の技術的な対策と、事案の共有による構成員に対する情報セキュリティに関する啓発・注意喚起等での組織運用面での対策により、再発防止を徹底して参ります」と対策を講じることを約束した。