日本大学三軒茶屋キャンパスは2026年3月6日、教職員1名のメールアカウントがフィッシング攻撃で乗っ取られ、外部に多数の不審メールが送信されたと公表しました。大学によると、発生は2月9日17時45分頃で、18時頃にシステムが異常な大量送信を検知しています。被害確認後、当該アカウントの利用停止とパスワード変更を行い、外部へのメール送信を遮断したとしています。
被害の概要
公表内容では、対象アカウントは教職員1名分で、不正ログイン後に学内外の連絡先へ321件の不審メールが送信されたことを確認しています。今回の事案は、単なる迷惑メール送信にとどまらず、アカウントに保存されていたメールボックス内の情報が第三者に閲覧可能な状態にあった点が重く、大学側も個人情報が取得された可能性を完全には否定できないと説明しています。
原因
原因は、実在するクラウドサービスを装ったフィッシングメールです。当該教職員がリンクをクリックし、認証情報を入力したことで、アカウント情報が窃取されたとしています。一方で、端末自体にウイルス感染の痕跡は確認されておらず、今回の侵害はマルウェアではなく認証情報の詐取を起点としたアカウント乗っ取り型だったことが分かります。
個人情報漏えいの懸念
大学は、メールボックス内の全内容を第三者が閲覧可能な状態だったと説明しており、保存されていた個人情報が取得された可能性を否定していません。現時点では、個人情報漏えいによる二次被害や金銭的被害は確認されていないものの、メールボックス内の情報量が多く、対象者をすべて特定して個別連絡することが困難なため、法令に基づき公表でのおわびと報告に切り替えたとしています。
受信者や関係者が注意すべき点
大学は、今後、本学教職員を装ったなりすましメールが届く二次被害のおそれがあると注意喚起しています。差出人名が日本大学教職員であっても、心当たりのないメールは信用せず、本文中のURLをクリックせず、添付ファイルも開かずに削除するよう呼びかけています。今回のようなアカウント乗っ取り事案では、正規の送信元アドレスが使われるため、通常の迷惑メールよりも見分けが難しくなります。受信者側は、差出人表示ではなく、文面の不自然さ、依頼内容の妥当性、リンク先の確認を徹底する必要があります。
関連記事
東京大学研究室サーバへの不正アクセスが発生 共同研究者アカウントを経由し学内外サーバにも波及
北海道大学大学院、不審者が侵入しPCから個人情報をダウロード-個人情報漏洩の可能性
流通科学大学、クラウド設定ミスで学生の個人情報が学内に閲覧可能となるおそれ 外部漏えいは未確認
北海道武蔵女子短期大学、個人情報を含むノートPCを紛失し個人情報流出の恐れ
東海大学、ランサムウェアによるサイバー攻撃で通信を遮断し復旧・調査中
コロンビア大学、不正アクセスによるサイバー攻撃で約87万人分の個人情報漏洩
信州大学、不正会計で非常勤職員を懲戒解雇 10年にわたり書類偽造か
広島工業大学でサイバー攻撃 個人情報流出の可能性を公表
大阪樟蔭女子大学、Microsoft 365アカウントへの不正サインインで大量メール送信
