2025年11月に発生した「東海大学」における、ランサムウェア攻撃について続報が公開された。
調査から大規模な個人情報流出が確認されている。
同大学でネットワークの保守や管理を担っていた委託先である「株式会社東海ソフト開発」のサーバーに対し、2025年11月に外部から侵入確認され問題が浮上。
調査の結果、攻撃者は認証情報を不正に入手してネットワーク内部に入り込み、ランサムウェアによる攻撃を実行したとされている。
調査から、委託先のサーバー20台から30台が影響を受けており、一部のファイルが暗号化されていたとのことで、侵入経路はリモートメンテナンス用の接続口から管理者アカウントを使ってアクセスされた可能性が高いと説明されている。
さらに委託先サーバー内に同法人の教職員や学生、保護者などの個人情報が保存されていたことが判明。
「ルール上は学外に持ち出さない個人情報が委託先の社内環境に存在していた」という運用上の問題も確認されることになった。
被害対象となったデータには、氏名や生年月日、住所、電話番号、学籍番号、メールアドレスのほか、学内システムのユーザーIDやパスワードなどの個人情報が含まれており、2020年度から2025年度までの学生や保護者、入学予定者、退職者を含む教職員、付属校の生徒や卒業生、病院の健診受診者、取引先関係者など延べ193,118名に上るとされている。
一方で、クレジットカード情報は含まれておらず、現時点で不正利用の報告は確認されていないとのこと。
大学は事案判明後、文部科学省や個人情報保護委員会など関係機関へ段階的に報告をおこなっている。
また、学園内で共通利用している統合ID管理システムのパスワードを教職員、学生、保護者を対象に順次リセットし、外部から利用可能な一部サービスの停止、管理者パスワードの変更などの措置も講じたという。
2026年2月17日からは、個人情報保護法に基づき、対象者への個別通知を順次開始。
同時に専用問い合わせ窓口を設置して、電話での相談対応を始めている。
今後は情報セキュリティ体制の見直しや教職員向け研修の強化、業務委託契約の再点検などを進めると説明しており、委託先に対しても安全管理措置の徹底や定期的な監査の実施を求めていく方針を示している。