静岡県御殿場市教育委員会は、2025年11月26日、小中学校の児童生徒の個人情報などを保存している外部委託サーバーがランサムウェアに感染し、一部のデータが暗号化されたと発表しました。
御殿場市のランサムウェア被害の概要
11月18日午前7時ごろ、市内の小中学校の教職員から「校務システムにつながらない」と教育委員会に連絡が入りました。保守委託業者に調査を依頼したところ、御殿場市外のデータセンターに設置されているサーバーがランサムウェアに感染し、データの一部が暗号化されていることが判明しました。
このサーバーには、次のような非常に機微な情報が保存されていました。
-
小中学校の児童生徒の氏名・住所・生年月日
-
保護者の氏名
-
保護者あての各種通知文書
-
行事の写真
-
生徒指導の記録文書 など
現時点では、これらの個人情報が外部に流出した形跡は確認されていないとされていますが、「見られていないと完全に言い切れない」状況であることは、教育現場にとって大きな不安材料です。
暗号化と学校運営への影響
今回の攻撃により、校務システムに保存されていた一部のデータは暗号化され、閲覧も編集もできない状態になりました。出欠管理や通知文書の作成、生徒指導の記録確認など、日々の学校運営に関わる業務がストップしました。
御殿場市教育委員会は、感染した「校務システム」をネットワークから遮断し、攻撃を受けていない「校務支援システム」を使うことで、11月26日16時に小中学校側の仮復旧を行いました。市役所のシステムとはネットワークが分かれていたため、市役所業務への影響は生じていないと説明しています。
また、教育委員会は教育情報セキュリティポリシーに基づき、総務省サイバーセキュリティ対策室や個人情報保護委員会への報告を済ませ、静岡県警サイバー捜査課とも連携して今後の対応を検討しています。
LOCKBIT 3.0とは
Sentineloneによると「LOCKBIT 3.0(LockBit Black)」は、近年もっとも活動が激しいランサムウェア・ファミリーの一つである LockBit 系の第3世代にあたる亜種です。LockBit 2.0 など過去バージョンのコードや手口を発展させたもので、2022年ごろから本格的に使われ始めたとされています。攻撃グループは、侵入や初期侵害を専門に行う「Initial Access Broker(IAB)」からネットワークへの足掛かりを買い取り、脆弱な RDP や VPN 設定、フィッシングなどを入口に企業ネットワークへ侵入していくスタイルが典型的です。
LockBit 3.0 はランサムウェアをサービスとして売り出す RaaS(Ransomware as a Service)モデルを採用しており、開発者と実行役(アフィリエイト)が分業して攻撃を行う仕組みになっています。アフィリエイトは侵入したネットワーク内でサーバや端末を横断的に乗っ取り、ファイル暗号化に加えて機密データの窃取も行います。そのうえで「暗号化解除キー」と「盗んだデータを公開しないこと」の両方をネタに金銭を要求する、いわゆる二重恐喝型の攻撃パターンが主流です。
さらに厄介なのは、LockBit 3.0 の暗号化ツール(ビルダー)の一部が漏えいし、それを流用した別グループのランサムウェアが次々と登場している点です。SentinelOne の分析でも、別のランサムウェア集団 DragonForce が、初期の攻撃で LockBit 3.0/LockBit Black のビルダーをそのまま流用していたことが指摘されています。
参照
小中学生の個人情報保存のサーバー「ランサムウェア」感染 データ一部暗号化され学校運営に支障=静岡・御殿場市教育委員会
関連記事
アタックサーフェスマネジメント(ASM)とは 専門家が解説
RaaS (Ransomware as a Service)とは?-セキュリティ用語を解説
ハッカーがノキアへの不正アクセスを主張、漏洩データを2万ドルで販売中
脅威アクターがシスコシステムズへ不正アクセスを主張 ハッキングしたデータを販売中
ノキア、不正アクセスによる顧客や企業の情報漏洩は確認できず
米国、LockBit(ロックビット)のランサムウェア開発者とされるロシア系イスラエル人を起訴
サイバー攻撃集団 ロックビット(LockBit)とは?
Veeam Backup & Replicationを狙うランサムウェア攻撃が発生
ランサムウェアの事例を解説
