2025年12月、慶應義塾大学は、同大学が業務を委託している外部企業を通じて運用していたメールサーバーの一部が不正アクセスを受けたことを公表しました。これにより、複数の学内関係者に関する個人情報が漏洩した可能性があるとされ、被害の規模や影響が注目されています。
本記事では、大学の発表をもとに、サイバー攻撃の発生から公表に至るまでの経緯や、講じられた対応について時系列で整理し、詳しく解説します。
出典:慶應義塾大学
目次
慶應義塾大学が不正アクセス攻撃による被害を発表
慶應義塾大学は、2025年10月に発生した不正アクセスにより、業務を委託していた外部企業が運用するサーバーに保存されていた個人情報が外部に漏洩した可能性があると、2025年12月26日に公式サイトで公表しました。
本件で漏洩した可能性がある個人情報の対象となるのは、以下の情報です。
- 入学志願者、在学生、卒業生、教職員等に関する情報
- 氏名
- 生年月日
- 住所
- 電話番号
- メールアドレス
大学は、委託先の企業からの報告を受けて調査を開始し、関係者への個別通知、情報管理体制の見直し、再発防止策の強化などの対応を進めているとしています。
2025年10月から12月、不正アクセスの発生と大学への報告
2025年8月、同社の顧客管理システムに対して海外からのシステム攻撃が行われ、パスワード漏洩が発生しました。その後の対応は以下の通りです。
- 2025年10月13日(月)
業務委託先が運用するサーバーに対し、第三者からの不正アクセスが発生。 - 2025年11月8日(土)
業務委託先が、慶應義塾大学に対して不正アクセスの発生を報告。 - 2025年12月21日(日)
当該サーバー内に保存されていた個人情報が外部に漏洩した可能性があることを大学側が確認。 - 2025年12月26日(金)
慶應義塾大学が、公式ウェブサイト上で本件に関する「お詫びとお知らせ」を公表。
攻撃の詳細は非公表
本件は、業務委託先が管理するサーバーに対して、第三者による外部からの不正アクセスが行われたことで発生しました。現時点で、侵入の手法や具体的なアクセス経路については公式には明らかにされておらず、詳細は不明とされています。
慶應義塾大学の対応
慶應義塾大学では、以下のような対応を講じています。
- 個人情報が漏洩した可能性がある関係者への個別連絡
- 被害状況や影響範囲の詳細な調査
- 業務委託先への再発防止に向けた指導
- 委託業務に関連する情報管理体制・セキュリティの見直し
また、問い合わせ対応の窓口を設け、対象者へのサポートも行っているとのことです。
出典:慶應義塾大学
個人情報漏えいによる企業へのリスク
今回の慶應義塾大学におけるような、外部からの不正アクセスによる個人情報の漏えいは、教育機関にとっても深刻なリスクとなります。
現時点で不正利用が確認されていなくても、窃取された情報がダークウェブ上で売買される、フィッシング詐欺に悪用される、SMSやメールを使った標的型詐欺(スミッシングやBEC)に利用されるなど、具体的な被害に発展するおそれがあります。
さらに、漏えいが発覚すれば、学生や関係者との信頼関係を損ない、説明責任やレピュテーションリスク(評判リスク)を問われる事態にもつながります。
こうした事案では、迅速な対応と被害範囲の正確な把握が求められ、外部の専門機関による調査やログ分析など、客観的な対応も重要です。
個人情報漏洩した場合の報告義務
2022年4月に施行された「改正個人情報保護法」では、個人データの漏えい、あるいは漏えいが発生する可能性がある場合、報告と通知が法人に義務付けられました。違反した企業には最大1億円以下の罰金が科せられる可能性もあります。
情報漏えいが発生した際に、企業は個人情報保護委員会へ2回報告する必要があります。それぞれ報告内容と報告期限が定められているため、注意しましょう。
- 漏えい等の事実が発覚したら、3〜5日以内に個人情報保護委員会へ通報
- 発覚から30日以内に被害を調査して個人情報保護委員会へ報告
データ漏えいが発生した場合は、外部の調査専門業者に調査を依頼することが重要です。
特にフォレンジック調査会社は、デジタル機器のデータ保全やアクセス調査に関する専門技術を保有しています。この技術により漏えいの原因や影響範囲を的確に把握し、再発防止策を十分に講じることができます。
また、調査報告書も作成してもらえるため、個人情報保護委員会へそのまま報告することも可能です。
フォレンジック調査とは
フォレンジック調査とは、サイバー攻撃、情報漏えい、データ改ざんなどのセキュリティ関連インシデントが発生した際に、その原因を特定し、被害の範囲や影響を明らかにするための詳細な調査手法です。
もともとフォレンジック調査は、犯罪や事件が起きた時、その現場から犯行の手掛かりとなる「鑑識」を指していました。特にデジタルデータからの証拠収集・分析は「デジタル鑑識」あるいは「デジタル・フォレンジック」とも呼ばれます。
インシデントが発生した場合、内容によっては特定の機関への報告義務が生じることがあります。自社のみで調査を行った場合、報告書の内容が認められないケースもあり、第三者機関による調査が一般的です。
私たちデジタルデータフォレンジック(DDF)は、官公庁、上場企業、捜査機関など、多様な組織のインシデント対応を行ってきた実績があります。
相談や見積もりは無料で、24時間365日体制でご依頼を受け付けています。早期対応が被害拡大防止の鍵となりますので、まずはお気軽にご相談ください。
\相談から最短30分でWeb打ち合わせを開催/
DDFは累計ご相談件数3.9万件以上のフォレンジック調査サービスです
まとめ
今回の情報漏えい事案は、外部からの不正アクセスによって発生したものであり、大学における情報セキュリティ体制の脆弱さと、その見直しの必要性を浮き彫りにしました。
慶應義塾大学は、業務委託先からの報告を受けて速やかに調査を行い、情報公開や関係者への通知を通じて対応を進めています。今後は、再発防止に向けた体制強化とともに、学内外の信頼回復を図るための継続的なセキュリティ対策の強化が求められます。
関連記事
この記事を書いた人
デジタルデータフォレンジック
エンジニア
