コロナ禍で急速に普及したオンライン授業は利便性を高める一方、セキュリティの新たな課題を浮き彫りにしました。文部科学省のガイドラインでは、不正アクセス、通信傍受、設定ミスによるトラブルがリスクとして挙げられています。特に、アカウント管理の甘さが個人情報漏洩の一因となり、暗号化されていない通信がデータの安全性を脅かす要因とされています。
本記事では、2024年に発生した教育機関へのサイバー攻撃事例を取り上げ、その攻撃手法や被害の傾向、必要な対策について解説します。
大学へのサイバー攻撃が約84%
2024年に報告された教育機関へのサイバー攻撃事例18件のうち、15件が大学を標的としたものでした。国公立と私立の割合はほぼ半々であり、運営主体に関係なく大学が被害に遭うリスクがあることが浮き彫りになりました。
大学のセキュリティは一見高度に見えますが、実際には課題が多いといわれています。研究データや個人情報を扱うことからシステム自体は高いセキュリティ基準を求められる一方で、分散管理されたネットワークやリソース不足が原因で脆弱性が生じることがあります。
また、大学などの大きな研究機関ではセキュリティ意識のばらつきや複雑な運営体制も統一的な対策を妨げる要因となっている可能性があるでしょう。
被害の特徴①メールアカウントがフィッシングの踏み台に
教職員や生徒のメールアカウントに不正アクセスし、それを利用して大量のフィッシングメールを送信する事例が5件報告されました。
このような攻撃は、大学名を騙った詐欺行為に利用されることで、大学そのものの信用に直接的な悪影響を及ぼすリスクがあります。
実際の事例:東京外大でフィッシングメールが26,397件送信
東京外国語大学では学内のメールアカウント1件が不正アクセスの被害を受け、約2日間で合計26,397件のフィッシングメールが送信されたことが明らかになりました。
同大学は、再発防止策として不正ログインの試みを監視する新たなシステムを導入する方針を公表しましたが、翌2025年にも再びメールアカウントの不正アクセスによる同様の被害が発生しています。
被害の特徴②教職員のPCがフィッシング被害
次に多かったのは、教職員のPCがフィッシング被害に遭い、その経由で大学のデータが漏洩するケースです。この場合、生徒の成績情報などの個人情報が漏洩する可能性が高く、大学の信用や責任が問われるリスクを伴います。
教育機関におけるサイバー攻撃は教職員や生徒個人の端末による被害が目立ちます。大学のシステム管理は学部や研究室単位で分散して行われることが多く、セキュリティポリシーの統一が十分でないケースが目立ちます。予算や人材不足も課題であり、特にサイバー攻撃の高度化に対応するリソースが限られている点が被害の拡大を招いています。
実際の事例:二次被害でさらにフィッシング被害(明治薬科大学)
明治薬科大学では教職員のMicrosoft365アカウントが不正アクセスを受け、該当アカウントから教職員本人を騙る形で5,675件のフィッシングメールが送信される被害が発生しました。
その結果、30名の生徒が教職員名義で送られたメールを信じ、リンク先で自身のメールアドレスとパスワードを入力してしまったことが明らかになりました。
この事例では、攻撃者が教職員名義を悪用したことで信頼性が高まり、多くの生徒が被害に巻き込まれる結果となっています。
まとめ
2024年に報告された教育機関へのサイバー攻撃では、教職員や生徒のアカウントが不正アクセスされ、大量のフィッシングメールが送信される事例が多く確認されました。特に、教職員のMicrosoft365アカウントやPCを経由した攻撃では、大学のデータ漏洩や生徒個人のアカウント情報の流出が発生しており、被害の拡大につながっています。また、教職員名義のメールを利用した巧妙な手口により、生徒が被害を受けるケースも報告されています。
これらの事例から、教育機関が直面するサイバー攻撃は、個々の利用者の管理や運用上の課題だけでなく、組織全体の信用や責任に影響を及ぼすリスクをはらんでいることが明らかになりました。教育機関におけるセキュリティ対策の徹底とリスク管理の重要性が改めて浮き彫りになった一年といえます。
【2024年版】サイバー攻撃被害に遭った教育機関一覧
| 日付 | 学校・教育機関名 | 被害カテゴリ | 組織区分 | 運営 | 漏洩した情報 |
|---|---|---|---|---|---|
| 2/26 | 東京外国語大学 | フィッシング | 大学 | 国公立 | 漏洩なし・不明 |
| 3/1 | 北海道大学 | 不正アクセス | 大学 | 国公立 | 教職員, 生徒, その他 |
| 3/27 | 大東文化大学 | フィッシング | 大学 | 私立 | 生徒 |
| 3/29 | 北九州市立大学 | 不正アクセス | 大学 | 国公立 | 生徒, その他 |
| 4/2 | お茶の水女子大学 | 不正アクセス | 大学 | 国公立 | 漏洩なし・不明 |
| 6/4 | 明治薬科大学 | フィッシング | 大学 | 私立 | 卒業生, 生徒, 教職員 |
| 6/12 | 杏林大学 | フィッシング | 大学 | 私立 | 生徒, その他 |
| 8/26 | 大分大学 | 不正アクセス | 大学 | 国公立 | 漏洩なし・不明 |
| 8/30 | 学校法人廣池学園 | ランサムウェア | 幼稚園~大学 | 私立 | 生徒, 卒業生, その他 |
| 10/1 | ライクキッズ株式会社(都内5区保育園) | ランサムウェア | 保育園 | 私立 | 生徒, 卒業生, 教職員, その他 |
| 10/16 | 学習院女子大学 | 不正アクセス | 大学 | 私立 | 漏洩なし・不明 |
| 10/22 | 宮崎大学 | フィッシング | 大学 | 国公立 | 漏洩なし・不明 |
| 11/6 | 東北学院大学 | ランサムウェア | 大学 | 私立 | その他, 卒業生, 生徒, 教職員 |
| 11/11 | 帝塚山学院大学 | フィッシング | 大学 | 私立 | 漏洩なし・不明 |
| 11/15 | 浦添市 | 不正アクセス | 小学校 | 国公立 | 生徒 |
| 11/18 | 室蘭工業大学 | 不正アクセス | 大学 | 国公立 | 生徒, 卒業生 |
| 12/6 | 九州女子大学 | フィッシング | 大学 | 私立 | 教職員, 生徒, 卒業生 |
| 12/8 | 学校法人福原学園 | 不正アクセス | 大学 | 私立 | 漏洩なし・不明 |
| 12/10 | 東京経済大学 | フィッシング | 大学 | 私立 | 漏洩なし・不明 |
