学校法人宮城学院、約3万人分の個人情報が漏えいの可能性
- コンステラ
- 2025年10月7日
- 読了時間: 2分
更新日:2025年10月27日
2025年9月24日、学校法人宮城学院は、5月16日に公表したランサムウェア感染について続報を発表しました。
同学院によると、最大で約3万人分の個人情報が漏えいした可能性があるとのことです。
攻撃の原因は、外部攻撃者によるアカウント情報の窃取であり、それをきっかけに学内ネットワークへ侵入され、ランサムウェアの実行と個人情報の漏えいにつながったとしています。
■ 何が起きたのか?
漏えいを確認した情報:9名分(卒業生・修了生)
氏名、学籍番号、学部、電話番号、メールアドレス、住所、出身校
漏えいの可能性がある情報:約3万人分(重複含む)
対象期間:1995年度~2025年度に在籍・在職していた学生、生徒、園児、教職員など
学生・生徒・園児情報:氏名、住所、電話番号、メールアドレス、学籍情報等
教職員情報:氏名、住所、電話番号、生年月日などの人事関連情報
その他:業務関連文書、サーババックアップファイル等
■ 調査の経緯
2025年5月12日:大学教務システムサーバのダウンを確認
2025年5月16日:ランサムウェア感染を公表
2025年5月~9月:外部専門会社の協力のもと、情報漏えい範囲を調査
2025年9月24日:最大約3万人分の個人情報が漏えいした可能性を発表
調査の結果、攻撃者によるユーザーID・パスワードなどのアカウント情報の窃取が発端と判明。
この情報を利用して学内ネットワークへ侵入され、複数サーバが暗号化されるなどの被害が発生しました。
■ 今後の注意点
今回のケースは、学内システムのアカウント情報窃取を起点としたランサムウェア攻撃によるものです。
教育機関を狙った攻撃は年々増加しており、サーバやクラウド環境の脆弱性を突かれる事例が相次いでいます。
企業・学校ともに、次の点が重要な教訓となります。
アカウント情報の管理強化(多要素認証、定期的なパスワード更新)
標的型メールや不審通信に対する教育・訓練
侵入検知・バックアップ体制の強化
外部委託先を含めたセキュリティ監査の徹底
<参照情報>
