学部交渉局文書第97号
令和2年(2020年) 11月30日(月)
関係者 各位
東京大学教養学部学生自治会
理事長
副理事長兼学部交渉局長
学生自治会学部交渉局Slackへの部外者によるサインイン事案に関するお詫びとご報告
1. 概要
2020年10月5日に本会執行部外の学生と思われる者1名が学部交渉局で使用しているSlackにサインインし、11月 27 日までの間同Slack内での業務連絡が閲覧可能な状態とな っていました。閲覧ができた情報の中には本学関係団体や本会会員、学外団体と学部交渉局 とのやりとりが含まれており、当該団体等の担当者の氏名またはメールアドレス、ないしそ の両方も閲覧可能となっていました。実際に情報が流出したかは不明であり、流出による被 害は現在のところ確認しておりません。なお、個人情報等が流出した可能性のある方には、今日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。
個人情報の管理に不行き届きがあり、多大なるご心配とご迷惑をおかけしたこと、また前期課程生を代表する団体たる学生自治会の信頼を損ねましたこと、深くお詫び申し上げます。
2. 経緯
2020 年10月5日に学部交渉局 Slack へ新たなアカウントのサインインがありました。サインインがあってから2週間以内に当該 Slack の管理者が当該アカウントに対してDMを2 回送るも反応がありませんでした。その後11月26日に当該アカウントのメールアドレスを使用する者がいないか局内で確認したところ申し出る者がなく、執行部外の者によるサインインと判断し、間も無く当該アカウントを無効化しました。その後、当該メールアドレスと思しき人物が執行部外の者である証拠を確認しました。
3. 原因
「このワークスペースへの参加」の設定において東京大学ECCSアカウントのドメイン「からのメールアドレスの招待を全て承認」するという設定にしていました。これは、実際には当該Slackの招待リンク等を一切送っていなくとも、また当該Slack自体の存在を知らなくとも、東京大学ECCSアカウントにてSlackにログインを試みた者全体に対して学部交渉局 Slack への参加画面が表示される機能となっていました。これにより、本会と関係のない本学関係者であっても誰でもサインイン可能な状況となっていました。
当該Slackを管理していた学部交渉局長もこの設定を認知しておらず、当該不正サイン インが執行部外者によるものである可能性を十分に認識していなかったため、サインインから即座に確認をせず、1ヶ月間アクセス可能な状態をもたらすに至りました。
4. 再発防止策
学部交渉局Slackの設定を変更し、学部交渉局Slackの管理者のみが当該Slackへの招待を送れるよう、またそれ以外の方法でサインインできないように設定を変更しました。
本会理事会で当該事案を共有し、他部署のSlackについても確認しました。
