加賀電子株式会社の子会社である加賀ソルネット株式会社(東京都中央区)は2026年7月1日、同社が教育機関向けに運営するPCのBYOD販売支援サービス「アカデミコナビ」のECサイトにおいて、2026年6月22日に第三者による不正アクセスが発生し、ユーザー登録情報が漏えいした可能性があると発表しました。影響を受ける可能性があるのは、2021年10月から2026年4月の間にアカデミコナビでユーザー登録を行った購入者のデータで、最大で約17万件とされています。クレジットカード情報は同サイトで保持しておらず、漏えいの可能性はないと説明されています。本インシデントは教育機関が自ら管理するシステムの侵害ではなく、業務委託先のECサービスが攻撃を受けたという構造になっており、大学・専門学校が学生のPC斡旋業務を外部に委託していた点が今回の被害範囲に直結しています。
サマリー
- 加賀ソルネット株式会社が運営する学生向けPC販売ECサイト「アカデミコナビ」が2026年6月22日に不正アクセスを受け、最大約17万件のユーザー登録情報が漏えいした可能性。同社は個人情報保護委員会への報告済み
- 漏えいの可能性がある情報は氏名・住所・連絡先・メールアドレス・暗号化されたマイページパスワード等。クレジットカード等の決済情報は別の決済代行事業者が保持しており、漏えいの可能性はないとしている
- 影響対象は2021年10月〜2026年4月にアカデミコナビでユーザー登録した購入者。不正アクセス確認後、サイトを一時停止するとともに外部委託業者と連携して原因調査・ログ解析を実施中
- 同サービスを利用して学生向けのPC斡旋を行っていた尾道市立大学・穴吹カレッジをはじめ、複数の教育機関が在学生・保護者へ相次いで通知。大学・専門学校側が学生の個人情報を加賀ソルネットへ提供していたわけではなく、学生が直接サイトに入力した情報が対象
- 現時点で個人情報の公開や不正利用は確認されていないが、なりすましや不審な連絡に注意が必要。同サイトのマイページと同一パスワードを他サービスで利用している場合は変更を推奨
- 教育機関がPC斡旋業務を外部ECサービスに委託する形態は広く普及しているが、委託先の不正アクセスで学生データが漏えいするリスクは委託元の教育機関にとってもサプライチェーンリスクとして現実化した事例
| 項目 | 内容 |
|---|---|
| 発表日 | 2026年7月1日 |
| 発表主体 | 加賀ソルネット株式会社 EMカンパニー(加賀電子株式会社の子会社) |
| 対象サービス | アカデミコナビ(学生向けPC販売ECサイト) |
| 不正アクセス確認日 | 2026年6月22日 |
| 影響対象期間 | 2021年10月〜2026年4月にユーザー登録した購入者 |
| 最大漏えい件数 | 約17万件 |
| 漏えいの可能性がある情報 | 氏名・住所・連絡先・メールアドレス・暗号化されたマイページパスワード等 |
| 漏えいの可能性がない情報 | クレジットカード等の決済情報(決済代行会社が管理) |
| 個人情報保護委員会への報告 | 済み |
| 通知確認済みの教育機関 | 尾道市立大学・穴吹カレッジ・加賀電子グループ参加機関(kgem.co.jp) |
| 不正利用の確認 | なし(公表時点) |
| 問い合わせ先 | 加賀ソルネット EMカンパニー TEL: 0120-558-044 / [email protected] |
アカデミコナビとは
アカデミコナビは加賀ソルネット株式会社 EMカンパニーが運営する、大学・専門学校・高校など教育機関向けのPCおよびデバイスBYOD販売支援サービスです。入学時などに学校側が推奨端末を指定し、学生・保護者がアカデミコナビのECサイト上で直接注文・決済・受け取りまでを完結させる形態をとっています。学校側は端末の選定や推薦のみを行い、注文受付・入金確認・問い合わせ対応といった煩雑な業務を加賀ソルネット側がワンストップで引き受けることで、教育機関の事務負担を大幅に軽減できる点が普及の背景にあります。
同社の紹介によれば、2020年のコロナ禍以降に急速に広まったオンライン授業への対応をきっかけに需要が拡大し、これまでに累計50万人以上の学生・生徒が利用したとされています。
今回の不正アクセスを受けて、7月1日時点で通知を確認できた教育機関は、尾道市立大学(広島県)・穴吹カレッジ・加賀電子グループのEMカンパニー参加機関を含む複数校です。各校の通知内容はほぼ共通しており、学校側が加賀ソルネットに学生情報を提供したわけではなく、学生・保護者が購入の際にサイト上で直接入力・登録した情報が対象であるという点を強調しています。アカデミコナビは多数の学校に導入されているサービスであることから、今後も通知を公表する教育機関が増加する可能性があります。
何が起きたか
加賀ソルネットの発表によれば、2026年6月22日に第三者によるアカデミコナビへの不正アクセスが確認されました。同社は確認後ただちにサイトを一時停止し、外部からのアクセスを制限するとともに、外部委託業者と連携してシステムのログ解析および原因調査を開始しました。
漏えいした可能性のある情報は、2021年10月から2026年4月の間に購入のためユーザー登録された氏名・住所・連絡先・メールアドレス・暗号化されたマイページパスワード等で、最大約17万件に上ります。
クレジットカードなどの決済情報については、アカデミコナビが他社の決済代行サービスを採用しているため当サイトでは保持しておらず、漏えいの可能性はないとしています。
加賀ソルネットは本件を個人情報保護委員会に報告済みです。「これまでのところ、個人情報の公開や不正使用などは確認されていない」としながら、今後の調査の進展により新たに公表すべき事実が判明した場合には改めて案内するとしています。
サプライチェーンリスクとしての視点
今回の事案で注目すべきは、被害を受けた個人情報の「出どころ」の構造です。
尾道市立大学は「本学から加賀ソルネット株式会社へ学生の皆様の個人情報の提供は行っておりません。本事案は、学生・保護者の皆様が同社の販売サイトにて直接入力・購入された情報が対象となります」と通知の中で明示しています。つまり、大学や専門学校のシステムが直接侵害されたわけではなく、学生が日常的に利用する外部の購買サービスが標的になったことで、教育機関側がコントロールできない形で学生データが危険にさらされたということになります。
サプライチェーン攻撃の観点から見ると、アカデミコナビを通じた被害は業務委託先のセキュリティリスクがそのまま自機関のリスクになる典型的なパターンです。各教育機関が自らのシステムをいかく堅牢に守ったとしても、委託先が侵害されれば学生の個人情報は漏えいします。
暗号化パスワードに関する注意点
加賀ソルネットの発表では、漏えいした可能性のある情報のひとつに「暗号化されたマイページパスワード」が含まれています。「暗号化」という表現は一般にハッシュ化を指す場合と共通鍵暗号化を指す場合があり、どちらの方式を採用しているかによってリスクの度合いは異なります。仮にソルトなしのハッシュ化や弱いハッシュアルゴリズムが使われていた場合、攻撃者がオフラインで解析することが現実的に可能になります。
この点を踏まえ、アカデミコナビのマイページに使用したパスワードを他のサービスで流用している場合は、速やかに該当サービスのパスワードを変更することが強く推奨されます。
特に、銀行や決済サービス、業務に関わるシステムと同じパスワードを使い回していた場合には優先的に対応が必要です。加賀ソルネット自身も「マイページに利用したパスワードを他サイトで使用している場合は、念のため変更を推奨いたします」と注意を促しています。
情報システム部門への示唆
教育機関が学生のPC斡旋をECサービスに委託する形態は、今後もさらに広がることが予想されます。今回の事案が示す課題は、委託先のECサービスが保有する学生データの管理状況が、委託元の教育機関からは直接見えない点にあります。サーバサイドエンジニアとして業務系システムの外部委託に携わってきた経験からも、委託先のセキュリティ対策の状況を定期的に確認する仕組みを委託契約に組み込んでいる教育機関・企業はまだ少ないと感じています。
具体的な確認ポイントとしては、個人情報取扱委託契約の中に委託先のセキュリティ監査・脆弱性診断の実施義務と報告義務が含まれているかどうかの確認、重大なインシデント発生時の報告期限と対応手順が明記されているかどうかの確認、そして委託先が保有する個人情報の範囲と保持期間の把握という3点が挙げられます。今回のケースでは2021年10月から約5年分のデータが蓄積されており、購入者の多くはすでに卒業・修了している場合も考えられます。不要になったデータを長期間保持することのリスクという観点でも、委託先との定期的なデータライフサイクル管理の見直しが望まれます。
大学・高等教育機関でのサイバーインシデントは近年増加傾向にあり、武蔵野大学を標的にしたQilinランサムウェアによる攻撃主張や、九州大学のランサムウェアインシデントのように学内システムが直接攻撃されるケースも確認できています
出典
- 当社ECサイトに対する不正アクセスに関するご報告とお詫び – 加賀ソルネット株式会社(1次ソース)
- 斡旋ノートパソコン販売サイトへの不正アクセスに関するご報告とお詫び – 尾道市立大学(1次ソース)
- アカデミコナビへの不正アクセスに関するお知らせ – 加賀電子グループ EMカンパニー(KGEM)
- アカデミコナビへの不正アクセスに関するお知らせ – 穴吹カレッジ
当サイト関連記事:








