お問い合わせ
2025年8月22日、芝浦工業大学は、学術情報センターのネットワークが不正アクセスを受けたことを公表しました。調査の結果、教員のVPNアカウントが悪用されていたことが判明しています。
本記事では、芝浦工業大学で発生した不正アクセスによる情報漏洩の可能性について、発生経緯や影響、大学の対応を分かりやすく解説します。
出典:日経XTECH
目次
芝浦工業大学が不正アクセス被害を発表
芝浦工業大学は2025年8月22日、学術情報センターのネットワークに対する不正アクセスについて公式に発表しました。
調査の結果、在学生や在籍教職員に加え、主に2019〜2021年度に在籍していた卒業生の情報を含む、ユーザーID・氏名・大学メールアドレス が外部に漏洩した可能性があるとしています。
対象者には8月12日から順次個別にメールで連絡を行っており、現時点で具体的な情報の悪用や二次被害は確認されていません。また、認証サーバーへの侵入、管理者権限の奪取、ランサムウェアによる被害も発生していません。
2025年7月に芝浦工業大学は不正アクセスを受ける
- 2025年7月4日から14日:海外のIPアドレスから教員アカウントを利用したVPN不正アクセス、認証サーバーへの不審なユーザー検索・攻撃が発生。
- 2025年7月29日:大学担当者が不審なユーザー検索記録を発見。原因調査の結果、上記不正アクセスと攻撃の痕跡を確認。同日、当該教員アカウントのパスワードを変更。
- 2025年7月31日:文部科学省、個人情報保護委員会、JPCERT/CC、警視庁へ報告。
- 2025年8月1日:文部科学省へ第3報を提出。JPCERT/CCにログを提供し、Microsoftユニファイド・サポートに調査を依頼。
- 2025年8月5日:Microsoftユニファイド・サポートと対策検討を実施。
- 2025年8月8日:JPCERT/CCよりログ分析結果を受領。
- 2025年8月12日:情報漏洩可能性対象となる在学生、卒業生、教職員に対し個別メール通知を開始。
- 2025年8月20日:文部科学省へ第4報を提出。
- 2025年8月22日:大学が不正アクセス被害を公式に公表。
不正アクセスが発覚した経緯
不正アクセスは、7月29日に学術情報センターで不審なユーザー検索の記録を大学担当者が確認したことで発覚しました。調査の結果、教員のVPNアカウントが不正に利用されていたことが分かっています。
今回の攻撃では、認証サーバーに対する攻撃は確認されたものの成功の記録はなく、管理者権限の奪取やランサムウェア被害も発生していません。
芝浦工業大学の対応
芝浦工業大学は、不正利用された教員アカウントのパスワードを変更し、関係機関へ速やかに報告しました。さらに、外部機関(JPCERT/CCやMicrosoftユニファイド・サポート)と連携して調査・分析を進め、対象者への個別通知を実施しました。
現時点で具体的な個人情報の悪用や二次被害は確認されていませんが、大学は今後もセキュリティ対策の強化を進め、再発防止に取り組む方針を示しています。
出典:芝浦工業大学
不正アクセスを受けた場合はフォレンジック調査が有効
不正アクセスが発生した際は、被害範囲や侵入経路を正確に把握しなければ、適切な対応や再発防止策を講じることはできません。そのため、専門的な解析技術を用いるフォレンジック調査の実施が有効です。
フォレンジック調査とは、サイバー攻撃、情報漏えい、データ改ざんなどのセキュリティ関連インシデントが発生した際に、その原因を特定し、被害の範囲や影響を明らかにするための詳細な調査手法です。
もともとフォレンジック調査は、犯罪や事件が起きた時、その現場から犯行の手掛かりとなる「鑑識」を指していました。特にデジタルデータからの証拠収集・分析は「デジタル鑑識」あるいは「デジタル・フォレンジック」とも呼ばれます。
被害発生時にフォレンジック調査が有効な理由は次の通りです。
- 侵入経路の特定:攻撃者がどこから侵入したかを明確にする
- 被害範囲の可視化:影響を受けたデータやシステムを把握する
- 証拠となるデータ保全:法的対応や保険請求に備えて証拠データを安全に保存する
- 再発防止策の策定:調査結果を基にセキュリティ体制を強化する
インシデントの内容によっては、個人情報保護委員会など特定の機関への報告義務が発生する場合があります。自社のみで調査を行うと、報告書が認められないケースもあるため、第三者機関による調査が一般的です。
弊社デジタルデータフォレンジック(DDF)では、情報漏えい調査(ダークウェブ調査)、ランサムウェア、サイバー攻撃や不正アクセスの原因特定、被害範囲調査などを実施しています。官公庁、上場企業、捜査機関など、多様な組織のインシデント対応実績があり、相談や見積もりは無料、24時間365日体制でご依頼を受け付けています。
早期対応が被害拡大防止の鍵となりますので、まずはご相談ください。
当社は累計約3.9万件ものサイバーインシデント対応実績があり、情報漏えいを引き起こさないための対策方法など豊富な知見を有しています。当社のサイバーセキュリティ専門家が、事前の予防から万が一の対応まで徹底サポートいたします。
24時間365日で無料相談を受け付けておりますので、お気軽にご相談ください。
✔どこに依頼するか迷ったら、相談実績が累計39,451件以上(※1)のデジタルデータフォレンジック(DDF)がおすすめ
✔データ復旧業者14年連続国内売上No.1のデータ復旧技術(※2)とフォレンジック技術で他社で調査が難しいケースでも幅広く対応でき、警察・捜査機関からの感謝状の受領実績も多数。
✔相談からお見積まで完全無料
※1 累計ご相談件数39,451件を突破(期間:2016年9月1日~)
※2 データ復旧専門業者とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと
第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(集計期間:2007年~2020年)
企業の情報漏えいインシデント対応が義務化されています
2022年4月から改正個人情報保護法が施行されました
2022年4月に施行された「改正個人情報保護法」では、個人データの漏えい、あるいは漏えいが発生する可能性がある場合、報告と通知が法人に義務付けられました。違反した企業には最大1億円以下の罰金が科せられる可能性もあります。
もし、マルウェア・ランサムウェア感染、不正アクセス、社内不正、情報持ち出しのような情報セキュリティ上の問題が発生した場合、まずは感染経路や漏えいしたデータの有無などを確認することが重要です。
ただ、調査を行うには、デジタルデータの収集・解析などの専門技術が必要です。これは自社のみで対応するのが困難なため、個人情報の漏えいが発生した、もしくは疑われる場合は、速やかにフォレンジック専門家に相談し、調査を実施することをおすすめします。
\相談から最短30分でWeb打ち合わせを開催/
まとめ
今回の記事では、芝浦工業大学の学術情報センターで教員のVPNアカウントが悪用され、不正アクセスを受けた事案について解説しました。
教育機関を含めた組織への不正アクセスは、個人情報の漏洩や信頼低下といった重大なリスクを伴います。被害を抑えるには、外部機関と連携した迅速な調査や、VPNアカウント管理を含むセキュリティ対策の強化が欠かせません。
不正アクセスが起きた際には、速やかな公表と関係者への通知、そして再発防止策の徹底が求められます。
関連記事
この記事を書いた人
デジタルデータフォレンジック
エンジニア
