2025年11月に発生した株式会社東海ソフト開発へのランサムウェア攻撃は、同社にシステム保守や管理を委託していた学校法人東海大学における大規模な個人情報漏えいへと発展しました。2026年2月18日に公表された東海大学の最新の報告書、および東海ソフト開発のこれまでの発表から、教育機関とシステムベンダー間におけるITインフラのサプライチェーン・リスクと、そのガバナンス体制の根本的な課題が浮き彫りになっています。
2月18日(水) 東海大学
【第2報】 業務委託先サーバへの不正アクセスに関する調査状況と対応について
2月18日(水) 東海ソフト開発
ランサムウエア攻撃に関するご報告と現時点での対応について(第4報)
リモート用入り口からの侵入とダークウェブへの公開
事の発端は、2025年11月7日夜に東海ソフト開発のサーバにおいて確認された不正アクセスの形跡でした。東海大学の第一報によると、攻撃者はリモートメンテナンス用の入り口から何らかの方法で管理者アカウントを窃取し、システム内に侵入したとみられています。その後、サーバ内に保管されていたファイルがランサムウェアによって暗号化される被害が発生しました。さらに11月20日には、神奈川県警からの通報により、ダークウェブ上で攻撃を受けたサーバ内の社内文書やファイル名と思われる一覧が公開されている事実も確認されています。
データ持ち出しのルール違反と監査の欠如
このインシデントにおいて最も直視すべき点は、高度なサイバー攻撃という技術的要因だけでなく、運用ルールからの逸脱という構造的なガバナンスの欠如が被害を根本から拡大させたという事実です。本来、東海大学が委託した業務は、大学構内での現地作業、または指定環境へセキュアに接続して行うという明確な作業ルールが存在していました。しかし実際には、委託先である東海ソフト開発がデータを自社内に持ち帰るなどのルール違反状態での運用を行っており、結果として無防備な個人情報が委託先サーバに保存されていました。同時に、東海大学側においても委託先に対する個人情報の安全管理の徹底や定期的な監査がなされていなかったことが、公式の報告書で明確に認められています。
最大19万件超の個人情報が流出
この運用体制の隙を突かれた結果、漏えいの対象は2020年度から2025年度の東海大学学生やその保護者、役員および教職員、さらには付属八王子病院の健診受診者など、最大で延べ19万3,118人に上る大規模なものとなりました。漏えいしたデータには、氏名、住所、電話番号のほか、学園システムを利用するためのIDやパスワードなどが含まれていました。なお、クレジットカード情報の流出はなく、現時点において漏えいした情報が不正に使用されたという報告は確認されていないとのことです。
パスワード一括リセットと委託先管理の厳格化
事態の重大性を受け、東海大学は情報漏えいの可能性があった全ての教職員や学生、保護者らのパスワードの一括リセット措置を順次実施しました。また、個人情報の特定を終えた2026年2月17日からは、対象者への個別通知を郵送等で開始するとともに、専用の特設コールセンターを設置して対応に当たっています。今後の再発防止策として、大学側は学内における情報セキュリティ体制のルール明文化を図るだけでなく、業務委託契約書の見直し、委託先への定期的な自己点検・報告の義務付け、関係法令に則した安全管理措置の監査徹底を表明しています。
サプライチェーン全体でのガバナンス強化が急務
大規模なオンラインシステムを抱える組織やベンダーを狙ったサイバー攻撃が日常化する昨今、システムの堅牢性確保に留まらず、委託先を含めた業務プロセスの厳格な順守と監査がいかに重要であるかを、本事例は強く示唆しています。
※タイトルと要約、イメージは、AI(Gemini)が生成したものをベースにしています。
これまでのリリース:
11月14日(金) 【第1報】 業務委託先サーバへの不正アクセスに関するお知らせ
11月25日(火) ランサムウエア攻撃に関するお知らせとお詫び(第3報)
11月14日(金) ランサムウェア攻撃に関するお知らせとお詫び(第2報)
11月13日(木) ランサムウェア攻撃に関するお知らせとお詫び
