コロナ禍で急速に普及したオンライン授業は利便性を高める一方、セキュリティの新たな課題を浮き彫りにしました。文部科学省のガイドラインでは、不正アクセス、通信傍受、設定ミスによるトラブルがリスクとして挙げられています。特に、アカウント管理の甘さが個人情報漏洩の一因となり、暗号化されていない通信がデータの安全性を脅かす要因とされています。
本記事では、2024年・2025年に発生した教育機関へのサイバー攻撃事例を取り上げ、その攻撃手法や被害の傾向、必要な対策について解説します。
大学へのサイバー攻撃が約84%
2024年に報告された教育機関へのサイバー攻撃事例18件のうち、15件が大学を標的としたものでした。国公立と私立の割合はほぼ半々であり、運営主体に関係なく大学が被害に遭うリスクがあることが浮き彫りになりました。
大学のセキュリティは一見高度に見えますが、実際には課題が多いといわれています。研究データや個人情報を扱うことからシステム自体は高いセキュリティ基準を求められる一方で、分散管理されたネットワークやリソース不足が原因で脆弱性が生じることがあります。
また、大学などの大きな研究機関ではセキュリティ意識のばらつきや複雑な運営体制も統一的な対策を妨げる要因となっている可能性があるでしょう。
最新の被害事例①東海大学でランサムウェア被害、サイトが閉鎖状態に
2025年に発生した最新の被害事例も見ていきましょう。2025年4月には東海大学のサーバが不正アクセス・ランサムウェアの被害に遭ったことを発表し、大きな話題となりました。
【重要 全キャンパス対象】
サイバー攻撃による授業の実施について(公式通知)4月19日(土)以降の授業は、通常通り行います。なお、大学のシステム等を利用している授業で、授業が実施できない場合は休講とします。
東海大学 公式Instagram
このサイバー攻撃の影響により大学公式サイトは閉鎖、授業が一部休講となるなど、学校機能にも大きな影響が出ています。
最新の被害事例②卒アル業者で相次ぐサイバー攻撃、累計24万人超漏洩か
教育関係の被害として近年顕著なのが、卒業アルバム作成を取り扱う印刷会社の情報漏洩です。
2024年5月に株式会社イシクラ、2025年4月に斎藤コロタイプ印刷株式会社がサイバー攻撃の被害を受けており、2社の被害を合算すると最大漏洩件数は24万件以上と見込まれています。被害の発生に伴い、練馬区・足立区・荒川区・埼玉県・福島県などさまざまな自治体が公立学校の漏洩被害について発表しました。
○情報漏洩の可能性がある学校及び幼稚園の数 181校園
【教育委員会所管分】
小学校 86校
中学校 57校
義務教育学校 2校
高等学校 16校
幼稚園 9園【知事部局所管分】
福島県教育委員会「卒業アルバム情報漏洩の可能性について(2025年4月17日更新)」
こども園等 9園
福島県農業総合センター農業短期大学校
福島県消防学校
学校組織そのもののセキュリティはもちろん、ステークホルダーとなる企業にも厳重な対策が求められます。
被害の特徴①メールアカウントがフィッシングの踏み台に
学校・大学の被害における特徴や傾向をご紹介します。
2024年には教職員や生徒のメールアカウントに不正アクセスし、それを利用して大量のフィッシングメールを送信する事例が5件報告されました。
このような攻撃は、大学名を騙った詐欺行為に利用されることで、大学そのものの信用に直接的な悪影響を及ぼすリスクがあります。
実際の事例:東京外大でフィッシングメールが26,397件送信
東京外国語大学では学内のメールアカウント1件が不正アクセスの被害を受け、約2日間で合計26,397件のフィッシングメールが送信されたことが明らかになりました。
同大学は、再発防止策として不正ログインの試みを監視する新たなシステムを導入する方針を公表しましたが、翌2025年にも再びメールアカウントの不正アクセスによる同様の被害が発生しています。
被害の特徴②教職員のPCがフィッシング被害
次に多かったのは、教職員のPCがフィッシング被害に遭い、その経由で大学のデータが漏洩するケースです。この場合、生徒の成績情報などの個人情報が漏洩する可能性が高く、大学の信用や責任が問われるリスクを伴います。
教育機関におけるサイバー攻撃は教職員や生徒個人の端末による被害が目立ちます。大学のシステム管理は学部や研究室単位で分散して行われることが多く、セキュリティポリシーの統一が十分でないケースが目立ちます。予算や人材不足も課題であり、特にサイバー攻撃の高度化に対応するリソースが限られている点が被害の拡大を招いています。
実際の事例:二次被害でさらにフィッシング被害(明治薬科大学)
明治薬科大学では教職員のMicrosoft365アカウントが不正アクセスを受け、該当アカウントから教職員本人を騙る形で5,675件のフィッシングメールが送信される被害が発生しました。
その結果、30名の生徒が教職員名義で送られたメールを信じ、リンク先で自身のメールアドレスとパスワードを入力してしまったことが明らかになりました。
この事例では、攻撃者が教職員名義を悪用したことで信頼性が高まり、多くの生徒が被害に巻き込まれる結果となっています。
まとめ
2024年に報告された教育機関へのサイバー攻撃では、教職員や生徒のアカウントが不正アクセスされ、大量のフィッシングメールが送信される事例が多く確認されました。特に、教職員のMicrosoft365アカウントやPCを経由した攻撃では、大学のデータ漏洩や生徒個人のアカウント情報の流出が発生しており、被害の拡大につながっています。また、教職員名義のメールを利用した巧妙な手口により、生徒が被害を受けるケースも報告されています。
これらの事例から、教育機関が直面するサイバー攻撃は、個々の利用者の管理や運用上の課題だけでなく、組織全体の信用や責任に影響を及ぼすリスクをはらんでいることが明らかになりました。教育機関におけるセキュリティ対策の徹底とリスク管理の重要性が改めて浮き彫りになった一年といえます。
【2024年版】サイバー攻撃被害に遭った教育機関一覧
| 日付 | 学校・教育機関名 | 被害カテゴリ | 組織区分 | 運営 | 漏洩した情報 |
|---|---|---|---|---|---|
| 2/26 | 東京外国語大学 | フィッシング | 大学 | 国公立 | 漏洩なし・不明 |
| 3/1 | 北海道大学 | 不正アクセス | 大学 | 国公立 | 教職員, 生徒, その他 |
| 3/27 | 大東文化大学 | フィッシング | 大学 | 私立 | 生徒 |
| 3/29 | 北九州市立大学 | 不正アクセス | 大学 | 国公立 | 生徒, その他 |
| 4/2 | お茶の水女子大学 | 不正アクセス | 大学 | 国公立 | 漏洩なし・不明 |
| 6/4 | 明治薬科大学 | フィッシング | 大学 | 私立 | 卒業生, 生徒, 教職員 |
| 6/12 | 杏林大学 | フィッシング | 大学 | 私立 | 生徒, その他 |
| 8/26 | 大分大学 | 不正アクセス | 大学 | 国公立 | 漏洩なし・不明 |
| 8/30 | 学校法人廣池学園 | ランサムウェア | 幼稚園~大学 | 私立 | 生徒, 卒業生, その他 |
| 10/1 | ライクキッズ株式会社(都内5区保育園) | ランサムウェア | 保育園 | 私立 | 生徒, 卒業生, 教職員, その他 |
| 10/16 | 学習院女子大学 | 不正アクセス | 大学 | 私立 | 漏洩なし・不明 |
| 10/22 | 宮崎大学 | フィッシング | 大学 | 国公立 | 漏洩なし・不明 |
| 11/6 | 東北学院大学 | ランサムウェア | 大学 | 私立 | その他, 卒業生, 生徒, 教職員 |
| 11/11 | 帝塚山学院大学 | フィッシング | 大学 | 私立 | 漏洩なし・不明 |
| 11/15 | 浦添市 | 不正アクセス | 小学校 | 国公立 | 生徒 |
| 11/18 | 室蘭工業大学 | 不正アクセス | 大学 | 国公立 | 生徒, 卒業生 |
| 12/6 | 九州女子大学 | フィッシング | 大学 | 私立 | 教職員, 生徒, 卒業生 |
| 12/8 | 学校法人福原学園 | 不正アクセス | 大学 | 私立 | 漏洩なし・不明 |
| 12/10 | 東京経済大学 | フィッシング | 大学 | 私立 | 漏洩なし・不明 |
