埼玉大学は2026年3月30日、特許管理システム「KEMPOS(ケンポス)」に対する不正アクセスの発生を公表した。
埼玉大学は特許情報の管理業務において、IT企業「株式会社ネットワークス」が運用するクラウド型システム「KEMPOS」を利用していた。
しかし、2025年10月8日に同システムのサーバーが第三者からの不正アクセスを受け、保存されていたデータが外部から閲覧可能な状態に置かれていた可能性が判明。
委託先のサーバー点検中に、複数のウイルス感染が確認されたという。
大学とネットワークス社は対応としてシステムを停止。
データを別サーバーに移したうえで、外部の専門機関によるデジタル鑑識(フォレンジック)調査を実施した。
その結果、サーバーは2025年2月上旬のセットアップ直後から脆弱性(セキュリティの弱点)を抱えており、3月にランサムウェア感染の痕跡も見つかっていたことが明らかになった。
公表時点で実際に情報が外部へ流出した確証はなく、大学側と委託先の調査でも流出の確認には至っていないが、完全に情報流出否定することもできない状況が報告されている。
影響が想定されるのは、発明者として登録されている教職員や学生、学外の共同発明者、特許申請を支援する弁理士など、合計1,516名に関する情報が該当。
氏名、所属機関名、住所、特許関連の記録などが含まれていたという。
大学は関係者へ個別通知を行い、あわせて文部科学省、個人情報保護委員会、埼玉県警へ報告している。
公表までに約5か月かかったのは、被害範囲を正確に把握するために調査時間を要したことが理由とされている。
埼玉大学は今回の対応として、問題があったサーバーを学内システムに移行し、外部からのアクセス制限を強化。
今後、新たな事実が分かった際には迅速に追加公表を行うとしている。
なお、埼玉大学は過去複数回のランサムウェア攻撃や不正アクセス、Emotetによるウイルス感染といった外部からのサイバー攻撃を受けている。
問題の根本には委託先サーバー管理の脆弱さがあったことが分かる。
サーバー構築直後から不正アクセスを許す設定のまま運用され、感染の兆候も早期に発見されなかったのは、基本的なセキュリティ体制が不十分であったことを示している。
大学など公的機関が外部サービスを利用する際は、委託先に頼り切るのではなく、自らの責任でセキュリティ監査を行い、定期的な脆弱性診断やアクセスログ監視を義務づけることが欠かせない。
サプライチェーン(委託の連鎖)においてセキュリティ上の脆弱性があれば、関係者全体の情報が危険にさらされる「第三者経由の攻撃」が起きやすくなる。
この事案は個人と組織視点でも考えさせられる点がそれぞれある。
個人においては、過去に共同研究や特許申請に関わったことがある人、あるいは学生や教職員の関係者は、不審なメールや電話などに注意し、相手の身元確認を慎重に行う必要があるかもしれない。
日常生活でもパスワードの使い回しを避け、二段階認証を導入し、自分が利用するサービスのセキュリティ方針を確認するなど、自衛意識を持つことは重要となる。
一方の組織側も「委託先がやってくれる」という受け身の姿勢を改め、自らのデータは自分たちで守るという意識と仕組みを整えることが信頼回復の第一歩になる。
デジタル化が急速に進むいま、外部に委託するシステムのセキュリティ事故は珍しいことではない。
だからこそテクノロジーだけでなく、運用や監視の仕組みをきちんと整えることが、すべての組織や個人に求められている。