福岡大学は2026年7月9日、就職活動の筆記試験対策として学生に利用させている「SMART SPI」の運営を委託している株式会社ノストラムのサーバーが不正アクセスを受け、学生の個人情報が外部に漏えいした可能性があると公表しました。ノストラムは同年5月8日、自社サーバーがランサムウェア攻撃を受け学習支援サービスが停止したことをすでに公表していましたが、今回の福岡大学の発表により、この攻撃で具体的にどの大学のどのような情報が影響を受けたのかが明らかになった形です。
サマリー
- 就活対策サイト「SMART SPI」を提供する株式会社ノストラムは2026年5月8日、自社の社内サーバーが第三者からのランサムウェア攻撃を受け、一部データが暗号化されるとともにサービスが停止したことを公表した
- 発生日時は2026年4月19日午前5時ごろとされていたが、福岡大学が公表した調査結果によれば、実際の侵入は2026年4月17日に発生しており、外部の攻撃者がネットワークへ侵入したうえでファイルを暗号化し、さらに再侵入のためのバックドアを構築していたことが判明している
- 福岡大学は2026年7月9日、同大学の学生が利用する「SMART SPI」を通じて、令和5年度〜令和8年度に在籍した学生(医学部医学科を除く)の個人情報が漏えいした可能性があると公表した
- 漏えいの可能性がある情報は、学籍番号・生年月日(最大33,668人)、氏名(登録者のみ最大800人)、模擬試験等の受験結果(最大33,668人)
- 攻撃者のサイト上には窃取したデータを公開する旨の告知があったとされるが、ノストラムが依頼した外部専門業者の調査では、本稿執筆時点で漏えいしたデータが実際に外部で公開された事実は確認されていない
- 調査報告では情報窃取を示す直接的な証拠は確認されていないものの、保存データが窃取された可能性を完全には否定できないとされている
- 両者とも警察・個人情報保護委員会等の関係機関へ報告済みで、福岡大学は文部科学省へも報告している
| 項目 | 内容 |
|---|---|
| 委託先事業者 | 株式会社ノストラム(学習支援サービス「SMART SPI」運営) |
| 委託元 | 福岡大学(就活筆記試験対策サイトとして利用) |
| ノストラム公表日 | 2026年5月8日 |
| 福岡大学公表日 | 2026年7月9日 |
| 侵入発生日 | 2026年4月17日(ノストラム発表では検知日を4月19日と説明) |
| 侵入経路 | VPN経由でのランサムウェア侵入、バックドアの構築も確認 |
| 被害の内容 | サーバー内データの暗号化、サーバー起動不能、情報窃取の可能性 |
| 漏えいの可能性がある情報(福岡大学分) | 学籍番号・生年月日(最大33,668人)、氏名(最大800人)、模擬試験等受験結果(最大33,668人) |
| 対象学年 | 令和5年度〜令和8年度在籍学生(医学部医学科を除く) |
| データ公開の事実 | 攻撃者サイト上に公開の告知はあったが、外部専門業者調査では公開の事実は本稿執筆時点で未確認 |
| 報告先 | 警察、個人情報保護委員会、文部科学省(福岡大学) |
何が起きたか-ノストラムへのランサムウェア攻撃
株式会社ノストラムは2026年5月8日、自社が提供する学習支援サービスについて、社内サーバーが第三者からのランサムウェア攻撃を受け、一部データが暗号化されるとともにサービスが停止したことを公表しました。同社の説明によれば、2026年4月19日(日)午前5時ごろ、VPN経由で同社ネットワークにランサムウェアが侵入し、サーバー内のデータが暗号化されてサーバーが起動不能となったとされています。同社は警察および個人情報保護委員会への報告を済ませ、外部専門業者にリークサイトの監視を依頼するとともに、セキュリティ専門業者による調査・復旧と脆弱性への対処を完了し、感染環境とは別の新しい環境でシステムを再構築していると説明していました。
福岡大学が公表した影響範囲と新たに判明した事実
福岡大学は同大学の学生が就職活動で受検する適性検査SPI3などの筆記試験対策として、ノストラムが提供する「SMART SPI」を利用しています。今回、福岡大学が2026年7月9日に公表した内容によれば、当該システムを運用する委託先のサーバーへの不正アクセスにより、保存されていた情報が外部に漏えいした可能性がある事案が発生したとされています。
福岡大学の公表内容は、ノストラム自身の5月8日の発表よりも詳細な経緯を含んでいます。同大学によれば、2026年4月19日にノストラムのサーバーが停止し不正アクセスの可能性が判明した後の調査で、実際には4月17日の時点で外部の攻撃者がノストラムのネットワークへ侵入し、ファイルを暗号化してサーバーを起動不能にしていたこと、そして外部から不正に再侵入するためのバックドアが構築されていたことが新たに判明しています。また、攻撃者のサイト上には窃取したデータを公開する旨の告知があったことも明らかにされました。調査報告では、情報窃取を示す直接的な証拠は確認されていないものの、保存データが窃取された可能性は完全には否定できないとされています。一方で、ノストラムが依頼した外部専門業者の調査では、漏えいした可能性のあるデータが実際に外部で公開された事実は、本稿執筆時点で確認されていないとのことです。
漏えいの対象と個人情報
漏えいの可能性がある情報の対象は、令和5年度から令和8年度にかけて福岡大学に在籍した学生(医学部医学科を除く)で、
具体的には学籍番号・生年月日が最大33,668人分、氏名が登録者のみの最大800人分、模擬試験等の受験結果が最大33,668人分とされています。
福岡大学とノストラムは、外部からのアクセスを遮断したうえで安全な運用環境を構築し、外部専門業者による調査を実施するとともに、文部科学省と個人情報保護委員会へ報告を行ったとしています。
情報システム部門への示唆
大学に限らず、外部のSaaS事業者やシステム運用委託先を利用している組織にとって、今回の事案は委託先管理の重要性を改めて示す事例です。まず、委託先が保有・管理する自組織の個人情報の範囲を正確に把握し、委託契約の中でセキュリティ水準やインシデント発生時の報告義務を明確に定めておくことが基本的な対策になります。加えて、委託先でインシデントが発生した際に、速やかに影響範囲の報告を受けられる体制と、報告を受けてからの対象者への通知・当局への報告のフローをあらかじめ整備しておくことも重要です。
今回の事案では、委託先の当初の発表(5月8日)から、委託元である大学が具体的な影響範囲を公表する(7月9日)までに約2カ月を要しています。この間、バックドアの構築や攻撃者サイトでのデータ公開の告知といった、当初は明らかになっていなかった事実が追加で判明していることからも分かる通り、委託先の調査は時間を要することが少なくありません。委託元としては、委託先の調査の進捗を継続的に確認し、新たな事実が判明した際には速やかに対象者へ情報提供できる体制を平時から準備しておくことをお勧めします。あわせて、複数の委託先を利用している組織は、それぞれの委託先が保有するデータの機微性とリスクを棚卸しし、優先度の高い委託先から順にセキュリティ状況の確認を進めることも有効な対策です。








