芝浦工業大学、不正アクセスで学生の個人情報漏洩の可能性

セキュリティニュース

投稿日時: 更新日時:

芝浦工業大学、不正アクセスで学生の個人情報漏洩の可能性

芝浦工業大学は2025年8月22日、学術情報センターのネットワークで不正アクセスの痕跡を確認し、在学生・卒業生・教職員の一部についてユーザID/氏名/大学メールアドレスが外部に漏えいした可能性があると公表しました。

現時点で管理者権限の奪取やランサムウェア感染、具体的な悪用は確認されていませんが、大学は対象者に個別通知を行い、関係機関と連携して調査・対策を継続しています。

何が起きたのか(時系列)

  • 7月4日・5日・7日・11日・14日:海外IPから、大学VPNに対する教員アカウントを用いた不正アクセスや、認証サーバーへの不審なユーザ検索・攻撃を観測。

  • 7月29日:学内担当者が不審なユーザ検索の記録を発見し、原因調査で上記の痕跡を確認。同日、当該教員アカウントのパスワードを変更

  • 7月31日以降:文部科学省、個人情報保護委員会、JPCERT/CC、警視庁へ報告。8月1日にJPCERT/CCへログ提供、マイクロソフト ユニファイド・サポートへ調査を依頼し、8月5日に対策を検討。8月8日にはJPCERT/CCのログ分析結果を受領。

  • 8月12日〜漏えい可能性のある対象者へ個別通知を開始8月20日に文部科学省へ第4報を提出。

漏えいの可能性がある情報と対象者

  • 可能性がある情報:ユーザID、氏名、大学メールアドレス。

  • 対象者の範囲:在学生(学部・大学院)、主に2019〜2021年度在籍の卒業生、在籍教職員、過去に在籍していた教職員。

  • 対象者には8月12日より順次メール連絡を行っています。

関係者が直ちに行うべきこと

  1. パスワードの変更:大学関連システムのパスワードを直ちに更新してください。他サービスと同一のパスワードを使い回している場合は全ての重複先も変更してください。

  2. 多要素認証の有効化:利用可能なサービスではMFA(多要素認証)/パスキーを有効にしてください。

  3. 不審メールへの警戒:大学名義を装う再設定依頼・本人確認・添付ファイルに注意し、メール内リンクは開かず公式ポータルから手動でアクセスしてください。

  4. ログイン履歴の確認:身に覚えのないログインがないかを確認し、疑わしい場合は速やかに大学へ連絡してください。

  5. 連絡先・端末の見直し:連絡先メールのフィルタ設定、端末のOS/セキュリティソフトの最新化を実施してください。

他大学で発生したサイバー攻撃の事例

2025年から2024年で、比較的大きな大学へのサイバー攻撃やインシデントが発生しています。

法政大学へのサイバー攻撃

2025年8月、法政大学では、ネットワーク運用を委託している日鉄ソリューションズの社内ネットワークが不正アクセスを受け、最大16,542名分(学生・教職員・卒業生にまたがる)の氏名・メールアドレス・電話番号・所属・統合認証IDが外部に漏えいした可能性が判明しました。委託先の侵害が起点となり、主体側の個人情報が巻き込まれる典型例であり、委託先管理の不備が自組織のリスクに直結することを改めて示しています。

東海大学へのサイバー攻撃

東海大学では、4月16日の侵入を発端に複数システムがランサムウェアにより暗号化され、最大43,451件の認証情報(ユーザーID、ハッシュ化パスワード、学内メール)が影響を受けました。公式サイトや学生ポータル等が一時停止し、7月16日に主要システム復旧という長期の業務影響に発展しています。調査ではフィッシング等で窃取されたアカウントを踏み台にネットワークへ侵入した可能性が高いとされ、アカウント保護と境界防御の両輪が欠かせない現実が浮き彫りになりました。

名古屋大学、サポート詐欺による不正アクセスの被害で個人情報漏洩の可能性

さらに名古屋大学では、教員が“サポート詐欺”の偽警告に誘導され遠隔操作を許してしまい、学生・生徒計1,626名分の情報が閲覧された可能性が指摘されています。

同系統の事案は山形大学(学内名簿や健康情報等)や松山大学でも確認され、家庭内Wi-Fi環境や私物化した運用(シャドーIT)が脆弱な入口となる傾向が見て取れます。技術的な脆弱性よりも、人の注意力と運用手続きの隙を突く攻撃が教育機関に対して有効に働いており、VPN・IdPの不正利用、委託先の侵害、サポート詐欺の三つが主要な侵入口として並び立っています。