帝塚山学院大学で発生した不正アクセス事件の概要
2025年9月2日、帝塚山学院大学が運用する「大学院 臨床心理学専攻(専門職学位課程)在学生・修了生向けWEBシステム」への不正アクセスが発覚しました。外部専門機関からの通知により事件が発覚し、調査の結果、サーバ内に不正ファイルが確認されています。
現役CSIRTメンバーとして多くの教育機関のインシデント対応に携わってきた経験から言えることは、この事件は氷山の一角に過ぎないということです。教育機関を狙ったサイバー攻撃は年々巧妙化しており、今回のような被害は決して他人事ではありません。
被害の詳細
今回の不正アクセスで漏洩した可能性がある個人情報は以下の通りです:
- 対象者数:約450名
- 漏洩情報:氏名、メールアドレス
- 発生日時:2025年8月2日
一見すると「氏名とメールアドレスだけなら大した被害ではない」と思われるかもしれませんが、これは大きな間違いです。フォレンジック調査の現場で見てきた実例では、これらの情報が標的型攻撃メールの材料として悪用され、より深刻な被害に発展するケースが後を絶ちません。
なぜ教育機関が狙われるのか?フォレンジック専門家の視点
私がフォレンジック調査で関わった教育機関のサイバー攻撃事例を振り返ると、以下のような共通点が浮かび上がります:
1. セキュリティ対策の優先度が低い
教育機関では限られた予算の中で教育活動が最優先とされ、セキュリティ対策への投資が後回しになりがちです。実際に調査した大学のシステムでは、数年前の脆弱性が放置されていたケースも珍しくありません。
2. 多様なユーザーによるアクセス
学生、教職員、研究者、外部講師など、様々な立場の人がシステムにアクセスするため、アクセス制御の管理が複雑になります。これがセキュリティホールを生み出す原因となっています。
3. 貴重な研究データと個人情報の宝庫
大学には研究データ、学生の個人情報、職員情報など、攻撃者にとって価値の高い情報が集中しています。
2024-2025年に発生した教育機関への主要なサイバー攻撃事例
法政大学の事例(2025年8月)
委託先である日鉄ソリューションズのネットワークが不正アクセスを受け、最大16,542名分の個人情報が漏洩した可能性が判明。この事例は、**委託先管理の重要性**を示しています。
東海大学のランサムウェア攻撃(2025年4月)
複数システムがランサムウェアにより暗号化され、最大43,451件の認証情報が影響を受けました。公式サイトや学生ポータルが一時停止し、主要システムの復旧まで3ヶ月を要するという深刻な事態に発展。
フォレンジック調査では、フィッシングメールで窃取されたアカウント情報を使用してネットワークに侵入した可能性が高いと判明しています。
名古屋大学のサポート詐欺事例
教員が偽のサポート詐欺警告に騙され、遠隔操作を許してしまい、1,626名分の学生情報が閲覧された可能性が指摘されています。この手口は山形大学や松山大学でも確認されており、**人的要因による侵入**の代表例です。
サイバー攻撃の手口と侵入経路の分析
フォレンジック調査の結果から、教育機関への主要な侵入経路は以下の3つに分類されます:
1. VPNとIdPの不正利用
リモートアクセス環境の脆弱性を突いた攻撃が増加しています。適切なVPN
の使用と多要素認証の実装が重要です。
2. 委託先の侵害
法政大学の事例のように、システム運用を委託している企業への攻撃を通じて、本体の情報が漏洩するケースが目立ちます。
3. サポート詐欺とソーシャルエンジニアリング
技術的な脆弱性よりも、人の心理的な隙を突く攻撃が教育機関では特に効果的に働いています。
個人でできるセキュリティ対策
教育機関に所属する学生や教職員の皆さんが今すぐ実践できる対策をご紹介します:
基本的な対策
- 強力なパスワードの設定:推測困難な文字列を使用し、サービスごとに異なるパスワードを設定
- 多要素認証の有効化:可能な限り二段階認証を設定
- 不審なメールへの警戒:添付ファイルやリンクを安易にクリックしない
- ソフトウェアの定期更新:OS、アプリケーション、アンチウイルスソフト
を最新状態に保つ
プライベートネットワーク利用時の注意
家庭のWi-Fi環境や公衆無線LANを利用する際は、VPN
の使用を強く推奨します。特に機密情報を扱う際には必須です。
法人・教育機関向けの包括的セキュリティ対策
技術的対策
- ネットワークセグメンテーション:重要システムの分離
- 脆弱性の定期診断:Webサイト脆弱性診断サービス
による継続的な監視
- エンドポイントセキュリティの強化:全端末へのアンチウイルスソフト
導入
- バックアップシステムの構築:ランサムウェア対策として重要
運用・管理面での対策
- セキュリティ教育の実施:定期的な意識向上トレーニング
- インシデント対応計画の策定:被害発生時の迅速な対応体制
- 委託先管理の強化:外部業者のセキュリティレベル確認
- アクセス権限の適切な管理:最小権限の原則に基づく設定
今後の展望と対策の重要性
フォレンジック調査の現場で感じるのは、サイバー攻撃の手口が年々巧妙化していることです。AI技術の発達により、より精巧なフィッシングメールや偽サイトが作成され、従来の対策だけでは不十分になってきています。
特に教育機関では、以下の点に注意が必要です:
- 学生の入れ替わりが激しく、継続的なセキュリティ教育が困難
- 研究活動における外部連携が多く、境界があいまい
- レガシーシステムの存在により、最新のセキュリティ対策の導入が困難
これらの課題を克服するためには、技術的対策と人的対策の両面からアプローチすることが重要です。
まとめ:今こそセキュリティ対策の見直しを
帝塚山学院大学の事例は、どの教育機関でも起こりうる現実的な脅威を示しています。「うちは大丈夫」という思い込みは、最も危険なセキュリティホールです。
個人レベルではアンチウイルスソフト
やVPN
の利用から始め、組織レベルではWebサイト脆弱性診断サービス
による継続的な監視体制の構築が急務です。
サイバー攻撃は防ぎきれないものと考え、被害を最小限に抑える「レジリエンス」の考え方が重要になってきています。今回の事例を教訓に、皆さんの組織でもセキュリティ対策の見直しを検討してみてください。
