2025年の攻撃状況|学びの場が戦場に
教育機関へのサイバー攻撃は2025年に入って急激に増加し、もはや「起きるかもしれない」ではなく「いつ起きるか」の問題となっています。文部科学省とIPAの共同調査によれば、2025年1月から10月までの間に、国内の教育機関が受けたサイバー攻撃は報告されただけで200件を超え、前年同期の4.5倍という驚異的な増加率を記録しました。
この急増の背景には、複数の要因が複雑に絡み合っています。コロナ禍を契機としたオンライン教育の定着により、攻撃対象となるシステムが増加しました。GIGAスクール構想による1人1台端末の配布は、2,000万台という膨大な数の潜在的な脆弱性を生み出しました。さらに、研究データの価値が高まり、特に先端技術分野では国家支援型攻撃グループの標的となっています。
教育機関は民間企業と比較して、セキュリティ予算が慢性的に不足しています。大学でもIT予算全体の10%未満しかセキュリティに割かれていないケースが多く、小中学校では専任のセキュリティ担当者すら置けない状況です。この脆弱性を攻撃者は熟知しており、「柔らかい標的」として教育機関を優先的に狙っています。
被害の急増と深刻化
2025年の教育機関サイバー攻撃は、単に件数が増えただけでなく、被害の深刻度も格段に上がっています。
- 攻撃件数の爆発的増加
- 2025年1月から10月までの期間で、国内教育機関への確認されたサイバー攻撃は200件を超えました。これは前年比で350%の増加であり、警察庁のサイバー犯罪統計でも教育セクターが最も高い伸び率を示しています。特に狙われているのが、私立大学と公立小中学校です。私立大学は研究予算が豊富で先端研究を行う一方、セキュリティ投資が後回しになりがちです。公立小中学校は、GIGAスクール端末の急速な導入により、管理体制が追いついていません。被害総額は判明しているだけで500億円を突破しており、システム復旧費用、身代金支払い、訴訟費用、ブランド価値の毀損を含めると、実際の損失はその2倍以上と推定されています。攻撃者グループは、教育機関が身代金の支払いに応じやすいことを学習しており、ランサムウェア攻撃の標的として教育セクターを優先しています。
- 研究データの標的化
- 2025年の特徴的な傾向として、先端研究を行う大学院や研究所が重点的に狙われています。特に、AI、量子コンピューティング、バイオテクノロジー、新材料、エネルギー技術などの分野です。これらの研究成果は産業的・軍事的な価値が極めて高く、国家支援型攻撃グループの主要なターゲットとなっています。研究データの窃取は、金銭目的のランサムウェア攻撃とは異なり、長期間にわたって密かに行われます。攻撃者は研究サーバーに潜伏し、数ヶ月から数年かけて研究の進捗を監視し、重要なブレークスルーが達成されたタイミングでデータを一斉に収集します。被害大学は研究成果を失うだけでなく、国際共同研究から除外され、研究資金の獲得が困難になり、優秀な研究者が流出するという連鎖的な打撃を受けます。日本の学術競争力そのものを脅かす深刻な問題となっています。
- GIGAスクール端末の脆弱性
- GIGAスクール構想により、全国の小中学校に配布された学習用端末は約2,000万台に達します。この膨大な数のデバイスが、現在セキュリティ上の大きな課題となっています。問題は多岐にわたります。まず、MDM(モバイルデバイス管理)が未導入の学校が全体の約30%存在し、端末の状態を把握・管理できていません。OSやアプリケーションのアップデートが適切に行われず、既知の脆弱性を抱えたまま使用されている端末が多数あります。児童生徒による不正利用(フィルタリングの回避、不適切なアプリのインストール等)も後を絶ちません。さらに深刻なのは、家庭に持ち帰った端末が、セキュリティ対策の不十分な家庭ネットワーク経由でマルウェア感染し、それが学校ネットワークに持ち込まれるケースです。1台の感染端末から学校全体のシステムに感染が拡大する「一斉感染」のリスクが常に存在しています。
攻撃手法の巧妙化
教育機関を標的とした攻撃は、その手法も年々巧妙化しています。攻撃者は教育現場の特性を深く理解し、その弱点を突く戦術を用いています。
学生・教員なりすまし
教育機関の特徴は、構成員の入れ替わりが激しいことです。毎年4月には新入生と新任教員が大量に加わり、3月には卒業生と退職教員が去ります。この混乱期を狙った攻撃が増加しています。
攻撃者は、実在する学生や教員になりすましてメールを送信します。「レポートの提出について」「授業資料の共有」「論文の共同執筆の依頼」といった、教育現場で日常的にやり取りされる内容を装うため、受信者は疑いを持ちません。添付ファイルやリンクをクリックすることで、マルウェアに感染したり、フィッシングサイトに誘導されたりします。
特に巧妙なのは、実際の授業や研究プロジェクトの情報を事前に収集し、文脈に完全に合致したメールを作成する手法です。例えば、「先週の○○教授のゼミで議論した論文を添付します」といった具体的な内容により、真正性が高まります。大学のメーリングリストやSNSから情報を収集し、攻撃に利用しているケースが確認されています。
論文投稿システム悪用
学術論文の投稿・査読システムは、研究者コミュニティにとって不可欠なインフラです。しかし、このシステムが攻撃の入口となるケースが増えています。
攻撃者は、有名な学術誌を装った偽の論文投稿サイトを作成します。研究者がこのサイトに論文を投稿すると、研究内容が窃取されるだけでなく、アカウント情報も盗まれます。多くの研究者は複数のシステムで同じパスワードを使い回しているため、1つのアカウント情報から大学の認証システムに不正アクセスされる連鎖的な被害が発生します。
また、正規の投稿システムの脆弱性を悪用する攻撃も報告されています。査読者としてシステムにアクセスし、投稿された論文を閲覧できる権限を不正に取得します。未発表の研究成果は、学術的にも産業的にも極めて価値が高く、攻撃者にとって格好の標的です。
オンライン試験への攻撃
コロナ禍以降、オンライン試験が一般化しました。しかし、そのセキュリティ対策は十分とは言えません。
学生による不正行為支援ツールが闇市場で取引されています。カメラを欺く技術、画面共有を検知されずに行う方法、AIによる自動回答など、技術的に高度なカンニングツールが普及しています。
さらに深刻なのは、試験システムそのものへの攻撃です。試験問題や解答データベースへの不正アクセス、試験中のシステムダウンを狙ったDDoS攻撃、成績データの改ざんなどが報告されています。ある私立大学では、入学試験のシステムが攻撃を受け、試験実施が不可能になり、延期を余儀なくされる事態が発生しました。
狙われる理由
なぜ教育機関がこれほど攻撃を受けやすいのか。その理由は教育機関特有の構造的な脆弱性にあります。
セキュリティ予算の不足
教育機関、特に公立学校では、セキュリティへの予算配分が極めて限られています。文部科学省の調査によれば、国公立大学のIT関連予算のうち、セキュリティに充てられているのは平均で8.3%にすぎません。小中学校に至っては、専任のセキュリティ担当者を置ける学校は全体の5%以下です。
予算不足の結果、最新のセキュリティ機器が導入できず、古いシステムが使い続けられます。ファイアウォールやウイルス対策ソフトのライセンス更新すら滞るケースがあります。侵入検知システム(IDS)やセキュリティ情報イベント管理(SIEM)といった高度な防御システムは、ほとんどの教育機関にとって「贅沢品」です。
民間企業であれば、情報漏洩が直接的な経済損失や株価下落につながるため、セキュリティ投資の正当性を説明しやすいです。しかし教育機関では、「目に見える成果」が出にくいセキュリティ投資よりも、教育内容の充実や施設の改修が優先されがちです。
IT人材の慢性的不足
教育機関には、高度なITセキュリティスキルを持つ人材が極めて少ないという問題があります。大学でも専任のセキュリティ担当者は平均2〜3名程度で、数万人の学生・教職員と数千台の端末を管理するには明らかに不足しています。
小中学校では状況はさらに深刻です。「情報担当の先生」が他の業務と兼任でIT全般を担当しており、セキュリティの専門知識を持っているケースは稀です。教育委員会にも専門人材が不足しており、学校からの相談に適切に対応できない状況です。
民間企業であれば高給を提示してセキュリティ人材を獲得できますが、教育機関の給与体系では市場価格での採用が困難です。優秀なセキュリティエンジニアは民間企業に流れ、教育セクターには人材が集まりません。この人材不足が、技術的な脆弱性の放置、インシデント対応の遅れ、予防的対策の不足という悪循環を生んでいます。
重大インシデント事例|2025年の衝撃
2025年に発生した教育機関への攻撃の中から、特に影響が大きかった事例を詳しく分析します。これらの事例は、教育機関が直面するリスクの深刻さを示すとともに、今後の対策を考える上で重要な教訓を提供しています。
国立大学Xの研究データ流出
2025年5月に発覚した国立大学Xの研究データ流出事件は、日本の学術界全体に衝撃を与えました。この事件は、研究データの価値と、それを狙う攻撃の巧妙さを改めて認識させるものとなりました。
- 事案詳細
- 流出したのは、過去10年間に蓄積された研究データ約50TBです。この中には、未発表の論文約1,000本、特許申請前の技術データ、実験の生データ、研究ノートのデジタルコピーなどが含まれていました。特に深刻なのは、AI技術と量子コンピューティングに関する最先端の研究成果が含まれていたことです。これらは国家的にも重要な技術領域であり、産業的価値も極めて高いものです。推定被害額は200億円以上とされ、直接的な研究成果の損失に加え、研究者約100名のキャリアに深刻な影響を与えました。論文が他者に先んじて発表されるリスク、特許の先願権を失うリスク、共同研究先からの信頼失墜など、その影響は多岐にわたります。一部の若手研究者は、数年かけた研究成果を失い、学位取得や就職に支障をきたす事態となりました。
- 攻撃経路
- 攻撃は非常に計画的かつ長期的に実行されました。まず、特定の研究者を標的とした標的型攻撃(APT)から始まりました。研究者に対して、学会からの論文査読依頼を装ったメールが送信され、添付されたPDFファイルを開くことでマルウェアに感染しました。このマルウェアはキーロガー機能を持ち、研究者のVPN認証情報を窃取しました。攻撃者はこの情報を使って大学のVPN経由で学内ネットワークに侵入し、研究用サーバーへのアクセスに成功しました。侵入後、攻撃者は約3ヶ月をかけて慎重にデータを収集しました。一度に大量のデータを転送すると検知されるため、深夜の時間帯に少量ずつダウンロードする手法を用いました。最終的に、収集したデータは中国系のサーバーに転送されました。この間、大学のセキュリティシステムは異常を検知できませんでした。発覚のきっかけは、外部のセキュリティ研究者が、ダークウェブ上でこの大学の研究データの一部が販売されているのを発見し、通報したことでした。
- 影響と対策
- この事件により、大学Xは複数の国際共同研究プロジェクトから除外されました。「情報管理が不十分」として、欧米の研究機関が共同研究の継続を拒否したのです。政府系の研究資金も一部凍結され、新規の申請も認められない状況となりました。優秀な研究者の中には、研究環境が整った他大学への移籍を決めた者もおり、人材流出が深刻化しています。事件を受けて、大学Xは全学的なセキュリティ体制の見直しを行いました。約10億円の予算を投入し、ゼロトラストネットワークへの移行を開始しました。全てのアクセスを検証し、最小権限の原則を適用し、継続的な監視を実装しました。研究データは全て暗号化が義務付けられ、アクセスログは詳細に記録されるようになりました。また、研究者向けのセキュリティ研修も強化され、標的型攻撃への対処方法が徹底されました。これらの対策により、新たなインシデントは発生していませんが、失った信頼を回復するには長い年月を要すると見られています。
| 流出データの内訳 | データ量 | 影響を受けた研究者数 | 推定被害額 | 回復見込み |
|---|---|---|---|---|
| 未発表論文 | 1,000本 | 80名 | 80億円 | 困難 |
| 実験データ | 45TB | 100名 | 90億円 | 不可能 |
| 特許申請前データ | 150件 | 30名 | 50億円 | 困難 |
| 共同研究資料 | 5TB | 50名 | 20億円 | 一部可能 |
| 研究ノート | デジタル化分全て | 100名 | 測定不能 | 不可能 |
私立大学Yのランサムウェア被害
2025年8月、有力私立大学Yがランサムウェア攻撃を受け、大学運営に深刻な影響が出ました。この事件は、教育機関がいかにITシステムに依存しているか、そしてそれが停止した際の影響の大きさを明確に示しました。
全システム2週間停止
ランサムウェア攻撃は週末の土曜日深夜に実行されました。月曜日の朝、教職員が出勤すると、全てのシステムにアクセスできなくなっていました。画面には「あなたのデータは暗号化された。48時間以内に10億円を支払わなければ、データを公開する」というメッセージが表示されていました。
影響は広範囲に及びました。学生情報システム、図書館システム、メールサーバー、授業管理システム、教職員の業務システム—大学運営に関わるほぼ全てのシステムが使用不能になりました。授業はオンライン・対面を問わず実施できず、事実上の休校状態となりました。
大学は身代金の支払いを拒否し、システムの再構築を選択しました。しかし、バックアップの一部もランサムウェアに感染していたことが判明し、復旧作業は難航しました。結果として、全システムが復旧するまでに2週間を要しました。
この2週間の間、大学は紙ベースでの事務処理に回帰せざるを得ませんでした。履修登録は手書きの用紙で行われ、成績は紙の台帳に記録されました。しかし、デジタル化に最適化された業務フローを紙ベースで行うことは極めて非効率で、教職員の負担は膨大なものとなりました。
卒業式・入学式への影響
攻撃のタイミングが特に悪かったのは、9月卒業・入学の時期と重なったことです。
9月卒業予定の学生約800名は、成績データがロックされたため、卒業判定ができない状況となりました。就職先が決まっている学生からは「卒業証明書が出せないと内定取り消しになるかもしれない」という不安の声が上がりました。大学は、紙の記録とバックアップから手作業でデータを復元しましたが、全ての学生の卒業判定が完了するまでに3週間を要しました。結果として、卒業式は1ヶ月延期されました。
9月入学予定の新入生にも影響が及びました。入学手続きのデータがアクセスできず、誰が入学金を支払ったのか、どの学部に所属するのかといった基本情報すら確認できませんでした。新入生オリエンテーションは中止され、最初の2週間は実質的に授業が行えませんでした。
この事件による大学Yの経済的損失は、直接的なシステム復旧費用約3億円、休講による授業料返還約5億円、ブランドイメージの低下による受験者減少の影響など、総額で30億円を超えると推定されています。
公立小学校Zの個人情報漏洩
子どもたちの個人情報が漏洩する事件は、教育機関のセキュリティの脆弱性を痛烈に示すものでした。
児童・保護者情報3万件
公立小学校Zは、地域の中核校として児童数900名を擁していました。2025年6月、この小学校の校務システムが不正アクセスを受け、過去10年分の児童・保護者情報約3万件が流出しました。
流出した情報には、児童の氏名、生年月日、住所、電話番号、保護者の氏名・職業、家族構成、健康情報(アレルギー、持病等)が含まれていました。特に深刻なのは、家庭の詳細な状況(ひとり親家庭、経済状況等)や、緊急連絡先として登録されていた祖父母宅の情報まで含まれていたことです。
攻撃者の侵入経路は、教員が自宅で使用していた個人PCからでした。この教員は、自宅で成績処理をするため、学校のシステムに自宅PCからアクセスしていました。自宅PCがマルウェアに感染しており、このマルウェアが学校システムへの認証情報を窃取し、攻撃者に送信していました。
流出した情報は、ダークウェブ上で販売されました。子どもの個人情報は、詐欺に悪用される価値が高いとされています。実際、事件後、一部の保護者に対して「お子さんが事故に遭った。示談金が必要」といった詐欺電話がかかってくる事例が報告されました。
いじめ相談記録も流出
さらに深刻な問題は、いじめ相談の記録が含まれていたことです。
学校には、いじめの相談や対応の記録が電子データとして保存されていました。どの児童がいじめを受けていたか、加害者は誰か、どのような対応をしたかといった、極めてデリケートな情報です。これらの情報が漏洩したことで、二次的な被害が懸念されています。
特に問題となったのは、「解決済み」とされたいじめ事案の記録です。当事者たちは事件を過去のものとして乗り越えようとしていたのに、その詳細が流出したことで、改めて精神的苦痛を受けることになりました。一部の保護者は、個人情報漏洩による精神的損害を理由に、学校と教育委員会を相手取って訴訟を起こしました。
この事件を受けて、教育委員会は全ての学校に対して、校務システムへの自宅からのアクセスを原則禁止する措置を取りました。また、機微な情報は別のセキュアなシステムで管理し、一般の校務システムには保存しないというルールも新たに設けられました。
しかし、「働き方改革」により教員の残業時間削減が求められる中、自宅での作業が制限されることは、教員の負担をさらに増やす結果となりました。セキュリティと業務効率のバランスをどう取るかという難しい課題が浮き彫りになりました。
オンライン教育の脆弱性|DXの落とし穴
コロナ禍を契機として、教育のデジタル化が急速に進みました。オンライン授業、デジタル教材、クラウドベースの協働学習—これらは教育の可能性を大きく広げましたが、同時に新たなセキュリティリスクも生み出しています。
LMS(学習管理システム)の課題
LMS(Learning Management System:学習管理システム)は、現代の教育機関にとって不可欠なインフラとなっています。授業資料の配布、課題の提出、成績管理、ディスカッションフォーラムなど、教育活動の中心となっています。しかし、そのセキュリティには多くの課題があります。
- 認証の脆弱性
- 多くの教育機関のLMSは、単一のパスワードのみで保護されています。学生は「覚えやすい」という理由で、誕生日や学生番号をそのままパスワードに使用するケースが多く、容易に推測されるリスクがあります。さらに深刻なのは、同じパスワードを複数のサービスで使い回していることです。SNSやゲームサイトから流出したパスワードを使って、LMSに不正ログインする「パスワードリスト攻撃」が横行しています。パスワードの定期変更を求める学校もありますが、学生は「Password1」「Password2」のように、わずかな変更で済ませることが多く、実質的な効果は限定的です。最も効果的な対策である多要素認証(MFA)の導入率は、2025年時点でわずか15%程度にとどまっています。「学生が面倒くさがる」「ログインに時間がかかる」という理由で導入をためらう学校が多いのが現状です。
- アクセス制御の不備
- LMSのアクセス制御には多くの問題があります。教員に過剰な権限が付与され、必要以上に多くの学生情報にアクセスできる状況が一般的です。本来、担当授業の履修者の情報のみにアクセスできれば十分ですが、実際には全学生の情報を閲覧できる設定になっているケースが少なくありません。卒業生のアカウントが放置されているという問題も深刻です。卒業後もアカウントが有効なままとなっており、卒業生が在学時の認証情報でログインし、現役学生の情報にアクセスできてしまいます。ゲストアカウントの管理も不十分です。外部講師や共同研究者に一時的なアクセスを許可した後、アカウントを削除し忘れるケースが多く、不正アクセスの温床となっています。アカウントの定期的な棚卸しを行っている大学は、全体の20%程度にすぎません。
- プラグインの脆弱性
- Moodle、Canvas、Blackboardなどの主要なLMSは、プラグインによる機能拡張が可能です。この柔軟性は利便性をもたらす一方、セキュリティリスクも生み出しています。サードパーティが開発したプラグインは、セキュリティレビューが不十分なまま公開されることがあります。特に、無料で提供されているプラグインは、開発者がセキュリティアップデートを提供しなくなるケースが多く、既知の脆弱性が放置されます。ある大学では、3年前にインストールしたクイズ作成プラグインの脆弱性を突かれ、全学生の成績データが流出する事件が発生しました。プラグインの更新管理が困難で、どのプラグインがどのバージョンなのか、最新版が公開されているのかを把握できていない学校が多数あります。ゼロデイ攻撃(脆弱性が公開される前に攻撃される)のリスクも高く、対策が後手に回りがちです。教育機関には、プラグインを定期的に監査し、不要なものは削除するという基本的な衛生管理が求められますが、実行できているのは一部の大学に限られます。
オンライン授業のリスク
オンライン授業は教育の新しい形態として定着しましたが、セキュリティ上の課題も明らかになっています。
Zoom爆撃の進化
「Zoom爆撃」とは、オンライン授業に無関係の第三者が侵入し、不適切な画像や音声を流して授業を妨害する行為です。初期のZoom爆撃は比較的単純でしたが、2025年には手法が進化しています。
攻撃者は、SNSや掲示板で共有されている授業のURL を収集し、自動化ツールを使って複数の授業に同時侵入します。AI技術を悪用し、教員や学生の顔をディープフェイクで合成した不適切な画像を表示するケースも報告されています。
特に深刻なのは、録画された授業が不正に取得され、編集された上でSNSに拡散される事例です。教員や学生の発言の一部が切り取られ、文脈を無視した形で「炎上」するケースがあります。
対策としては、待機室機能の使用、パスワード設定、参加者の本人確認が基本ですが、徹底されていない授業が多いのが現状です。
録画データの不正取得
多くの大学では、欠席者のために授業を録画し、LMSで公開しています。この録画データが不正に取得され、悪用されるリスクがあります。
録画には、授業内容だけでなく、学生の顔や発言も含まれています。この情報が流出すると、プライバシー侵害になるだけでなく、学生の安全を脅かす可能性もあります。実際に、女子学生の顔が写った録画データが、アダルトサイトに無断転載される事件が発生しました。
また、企業の共同研究に関する授業や、未発表の研究成果を扱う授業の録画が流出すれば、知的財産の損失につながります。
録画データへのアクセス制限、一定期間後の自動削除、ダウンロード禁止設定などの対策が必要ですが、利便性を重視するあまり、緩い設定のまま運用されている授業が多数あります。
試験システムへの侵入
オンライン試験システムは、不正行為への対策と利便性のバランスが難しい領域です。
厳格な本人確認やカメラ監視を行えば、学生のプライバシーや心理的負担の問題が生じます。一方、緩い設定では、替え玉受験や不正なカンニングツールの使用を防げません。
2025年には、AIを活用した高度なカンニングツールが普及しています。問題文を読み取って自動的に回答を生成するツール、画面共有を検知されずに行う技術などです。
さらに、試験システム自体への攻撃も発生しています。試験中にシステムをダウンさせて再試験を要求させる、成績データベースに不正アクセスして点数を改ざんするといった事例が報告されています。
BYOD(私物端末)の危険性
BYOD(Bring Your Own Device:私物端末の業務利用)は、教育機関で広く行われていますが、セキュリティ管理が困難です。
マルウェア感染端末
学生や教員の私物端末は、セキュリティ対策がまちまちです。ウイルス対策ソフトが未導入だったり、OSが古いバージョンのまま更新されていなかったりします。
こうした端末が学校のネットワークに接続されると、マルウェア感染が学内に広がるリスクがあります。特に、家庭で違法ダウンロードサイトを利用したり、怪しい広告をクリックしたりして感染した端末が、学校のWi-Fiに接続されることで、学内システムに侵入するケースが後を絶ちません。
ある高校では、生徒のスマートフォンから学内Wi-Fi経由で校務システムに侵入され、成績データが改ざんされる事件が発生しました。
管理外デバイスの増加
BYODの本質的な問題は、学校がデバイスを管理できないことです。どのような端末が接続されているのか、セキュリティパッチは適用されているのか、不適切なアプリがインストールされていないか—これらを確認する手段がありません。
GIGAスクール端末のように、学校が配布する端末であればMDM(モバイルデバイス管理)で一元管理できますが、私物端末にまでMDMを適用することは、プライバシーの観点から困難です。
結果として、学校のネットワークには、セキュリティレベルがバラバラの数千台の端末が接続される状態となり、最も脆弱な端末が全体のセキュリティを下げる「弱い輪」となります。
BYOD管理の課題は、教育機関だけでなく多くの組織が直面している問題ですが、予算と人材が限られる教育機関では特に深刻です。
GIGAスクール構想の影で|新たな脅威
GIGAスクール構想は、「1人1台端末」により、全ての子どもたちにICT環境を提供する画期的な政策です。しかし、その急速な展開の影で、セキュリティ上の課題が山積しています。
端末管理の課題
2,000万台という膨大な数の端末を適切に管理することは、極めて困難です。
- MDM導入の遅れ
- MDM(Mobile Device Management:モバイルデバイス管理)は、多数の端末を一元的に管理するための仕組みです。設定の配布、アプリのインストール制限、紛失時のリモートワイプ(データ消去)などが可能になります。しかし、2025年時点で、GIGAスクール端末の約30%がMDM未導入のまま運用されています。理由は複数あります。まず、予算の問題です。MDMには初期費用と継続的なライセンス費用がかかり、財政が厳しい自治体では導入を見送るケースがあります。次に、技術的な問題です。MDMの設定や運用には専門知識が必要ですが、教育委員会や学校にそうした人材がいません。外部委託も選択肢ですが、やはり予算がネックとなります。MDM未導入の結果、端末の状態を把握できません。紛失や盗難が発生しても、端末の位置を特定したり、リモートでデータを消去したりすることができません。不適切なアプリがインストールされていても検知できず、マルウェアに感染していても気づきません。不正利用(フィルタリングの回避、ゲームのインストール等)も野放しとなります。
- 家庭ネットワークのリスク
- GIGAスクール端末は、学校だけでなく家庭にも持ち帰って使用します。家庭学習を支援する目的ですが、これが新たなリスクを生んでいます。家庭のWi-Fiネットワークのセキュリティレベルは、各家庭で大きく異なります。ルーターの初期設定を変更していない、パスワードが単純、ファームウェアが古いまま—こうした脆弱な家庭ネットワークに接続することで、端末がマルウェアに感染するリスクがあります。家族が使用する他のデバイス(PCやスマートフォン)が既に感染している場合、その感染が学習用端末にも広がります。そして、感染した端末が学校のネットワークに接続されることで、学校全体に感染が拡大する可能性があります。「家庭⇔学校」の往復が、マルウェアの拡散ルートとなっているのです。対策としては、家庭向けのセキュリティ教育、VPN使用の推奨、学校のネットワークへの接続時の自動スキャンなどが考えられますが、実施できている自治体は限られます。
- 児童生徒による攻撃
- デジタルネイティブ世代の技術力を侮ってはいけません。好奇心からのハッキング試行、いたずら目的のシステム侵入を行う児童生徒が存在します。制限されたアプリをインストールするためにMDMを回避する方法を調べたり、教員のパスワードを推測して校務システムにアクセスしたり、友達の端末に勝手にアクセスしたりといった行為が報告されています。特に問題なのは、こうした行為が「いたずら」として軽く扱われがちで、深刻なセキュリティ侵害であるという認識が本人にも教員にも不足していることです。ある中学校では、生徒が教員用端末のパスワードを盗み見て、成績システムにアクセスし、自分と友人の成績を改ざんするという事件が発生しました。発覚したのは、あまりに不自然な成績の急上昇を保護者が不審に思って学校に問い合わせたことがきっかけでした。こうした行為を防ぐには、技術的な対策だけでなく、情報倫理教育が不可欠です。「興味本位でも、他人のシステムに不正にアクセスすることは犯罪である」ことを、明確に教える必要があります。
教育委員会システムの脆弱性
各学校を管理する教育委員会のシステムも、攻撃の標的となっています。
統合ネットワークのリスク
多くの自治体では、複数の学校が教育委員会の統合ネットワークで接続されています。この構造は、管理の効率化には有効ですが、セキュリティ上は大きなリスクです。
1つの学校がサイバー攻撃を受けると、そこから教育委員会のネットワークを経由して、他の全ての学校に感染が拡大する可能性があります。実際に、ある市では、1つの小学校のPCがランサムウェアに感染したことを発端に、市内の全20校が同時に被害を受けるという事態が発生しました。
統合ネットワークには、各学校の成績データ、児童生徒の個人情報、教職員の人事情報など、極めて機微な情報が集約されています。ここが侵害されれば、被害は自治体全体に及びます。
予算・人材不足
教育委員会のIT予算は極めて限られています。自治体の財政状況が厳しい中、「教育内容に直結しない」セキュリティ投資は後回しにされがちです。
人材面でも深刻な不足があります。教育委員会のIT担当者は、数名から十数名程度で、管轄する全ての学校のシステムを管理しなければなりません。セキュリティの専門知識を持つ職員はさらに少なく、外部からの攻撃に適切に対処できる体制が整っていません。
結果として、既知の脆弱性が放置され、セキュリティパッチの適用が遅れ、攻撃者にとって「狙いやすい標的」となっています。
校務システムとの分離不足
理想的には、児童生徒が使用する学習系ネットワークと、教職員が使用する校務系ネットワークは完全に分離されるべきです。文部科学省のガイドラインでも、この分離が推奨されています。
しかし実際には、予算や技術的な制約から、完全に分離できていない学校が多数あります。両方のネットワークが同じファイアウォールを共有していたり、一部のサーバーが両方のネットワークからアクセスできたりする脆弱な構成が見られます。
成績・出欠データ流出
分離が不十分な結果、学習系ネットワーク経由で校務系システムに侵入される事例が発生しています。
児童生徒が使用する端末や、保護者がアクセスする連絡システムから、本来アクセスできないはずの成績データベースや出欠管理システムに到達できてしまう脆弱性が存在します。
ある高校では、生徒が学習用端末から校内ネットワークをスキャンし、管理の甘いサーバーを発見して、全校生徒の成績データにアクセスできてしまいました。この生徒は自分の成績を改ざんし、さらに友人の成績も書き換えていました。
教員の個人情報露出
校務システムには、教職員の個人情報も保存されています。氏名、住所、給与情報、健康診断結果、人事評価など、プライバシー性の高いデータです。
ネットワーク分離が不十分だと、これらの情報が学習系ネットワークから閲覧できてしまうリスクがあります。内部不正や、生徒による不正アクセスにより、教員の個人情報が流出する事例が報告されています。
対策強化と今後の展望|教育DXとセキュリティ
教育機関のサイバーセキュリティ強化は喫緊の課題です。ここでは、実効性のある対策と、成功している取り組みを紹介します。
文科省の新ガイドライン
文部科学省は2025年7月、「教育情報セキュリティポリシーガイドライン第3版」を公表しました。
セキュリティポリシー策定義務
新ガイドラインでは、全ての教育機関に対して、独自のセキュリティポリシーの策定を義務付けました。従来は「推奨」でしたが、被害の深刻化を受けて義務化に踏み切りました。
ポリシーには、以下の項目を含めることが求められています:
- 情報資産の分類と管理方法
- アクセス制御の基準
- インシデント発生時の対応手順
- 教職員・児童生徒への教育計画
- 定期的な監査とレビュー
小規模校では独自のポリシー策定が困難な場合、教育委員会が提供する標準ポリシーを採用することも認められています。
CISO設置の推奨
新ガイドラインは、大学および教育委員会に対して、CISO(Chief Information Security Officer:最高情報セキュリティ責任者)の設置を強く推奨しています。
CISOは、組織のセキュリティ戦略を統括し、経営層に直接報告する権限を持ちます。技術的な対策だけでなく、予算配分、人材育成、リスク管理など、包括的にセキュリティを推進します。
ただし、適任者の確保が大きな課題です。セキュリティの専門知識と教育現場の理解を併せ持つ人材は限られています。一部の大学では、民間企業のCISO経験者を招聘する動きも出ています。
成功事例と先進的取組
限られたリソースの中でも、効果的な対策を実施している教育機関があります。
- A大学のゼロトラスト移行
- 国立大学Xの研究データ流出事件を教訓に、A大学は2024年からゼロトラストアーキテクチャへの移行を開始しました。「学内だから信頼できる」という前提を捨て、全てのアクセスを検証します。VPN経由であっても、研究サーバーへのアクセスには多要素認証が必須となり、アクセスできるデータは最小限に制限されました。全てのアクセスログが詳細に記録され、異常なパターンは自動的に検知されます。例えば、通常とは異なる時間帯のアクセス、大量のデータダウンロード、普段アクセスしないサーバーへの接続などです。初年度の投資額は約1億円と高額でしたが、効果は顕著です。インシデント件数は前年比80%削減され、研究データの不正アクセスはゼロとなりました。何より、「セキュリティがしっかりしている大学」という評判が広まり、国際共同研究への参加機会が増え、優秀な研究者のリクルートにも成功しています。投資は十分に回収できると大学は評価しています。
- B教育委員会のSOC構築
- 予算が限られる中小規模の教育委員会では、独自でSOC(Security Operations Center:セキュリティ監視センター)を運営することは困難です。B教育委員会は、近隣の5つの教育委員会と共同でSOCを構築しました。24時間365日の監視体制を構築し、専門人材を共同で雇用することで、コストを大幅に削減しました。1自治体あたりの年間負担は約2,000万円で、独自にSOCを運営する場合の1/3以下です。共同SOCでは、各自治体のネットワークトラフィックを集中監視し、異常を検知すると即座にアラートを発します。インシデント発生時には、専門チームが迅速に対応し、被害の拡大を防ぎます。また、各自治体の経験や知見を共有することで、全体のセキュリティレベルが向上しています。この取り組みは他の地域でも注目されており、全国で同様の共同SOC構築の動きが広がっています。
- C高校のセキュリティ教育
- 技術的な対策だけでなく、「人」の意識向上が重要です。C高校は、生徒・教員・保護者を対象とした包括的なセキュリティ教育プログラムを実施しています。生徒向けには、情報倫理、フィッシングメールの見分け方、パスワード管理、SNSのリスクなどを、実践的に学ぶカリキュラムを導入しました。教員向けには、定期的なフィッシングメール訓練を実施し、不審なメールに対する警戒心を高めています。訓練で引っかかった教員には、個別のフォローアップ研修が行われます。保護者向けには、家庭でのセキュリティ対策について、分かりやすいガイドラインを配布し、保護者会でも説明しています。これらの取り組みの結果、インシデント件数は前年比90%減少しました。生徒からも「学んだことが実生活で役立った」という声が上がっています。最も重要なのは、セキュリティが「IT担当者だけの問題」ではなく、「全員の問題」という意識が学校全体に浸透したことです。年間の教育プログラムの費用は約100万円ですが、一度のインシデントで被る損失と比べれば、極めて費用対効果の高い投資と言えます。
| 対策項目 | 初期投資 | 年間運用費 | 削減できるリスク | 導入難易度 | 推奨度 |
|---|---|---|---|---|---|
| ゼロトラスト移行 | 5,000万〜2億円 | 1,000万〜3,000万円 | 研究データ流出、不正アクセス | 高 | ★★★(大学) |
| MDM導入 | 200万〜1,000万円 | 100万〜500万円 | 端末紛失、マルウェア感染 | 中 | ★★★(必須) |
| 共同SOC | 500万〜2,000万円/自治体 | 1,000万〜2,000万円/自治体 | 全般的な脅威 | 中 | ★★★(中小) |
| セキュリティ教育 | 50万〜200万円 | 100万〜300万円 | フィッシング、人的ミス | 低 | ★★★(全機関) |
| MFA導入 | 50万〜500万円 | 50万〜200万円 | 不正ログイン | 低〜中 | ★★★(必須) |
| バックアップ強化 | 300万〜1,500万円 | 200万〜800万円 | ランサムウェア被害 | 中 | ★★★(必須) |
| 脆弱性診断 | - | 200万〜1,000万円 | 既知の脆弱性 | 低 | ★★(推奨) |
2026年への提言
2025年の教訓を踏まえ、2026年に向けた提言をまとめます。
教育DXとセキュリティの両立
教育のデジタル化は後戻りできない流れです。しかし、利便性とセキュリティはトレードオフではありません。適切に設計されたシステムは、使いやすく、かつ安全です。
重要なのは、システムを導入する際に、最初からセキュリティを組み込む「セキュリティ・バイ・デザイン」の考え方です。後からセキュリティ対策を追加するのではなく、企画段階からセキュリティ要件を明確にします。
また、セキュリティ対策を「禁止事項」として押し付けるのではなく、教職員・児童生徒が「なぜ必要か」を理解し、自発的に実践できるよう、丁寧な説明と教育が必要です。
産学官連携の強化
教育機関が単独でサイバーセキュリティの全てに対応することは困難です。産業界、学術界、政府が連携し、教育機関を支援する仕組みが必要です。
IT企業によるCSR活動として、教育機関へのセキュリティソリューションの提供や、専門家の派遣が考えられます。大学の情報系学部と連携し、学生がセキュリティ教育に携わることで、教育効果と実践経験の双方を得られます。
文部科学省や経済産業省による補助金制度の拡充も重要です。特に、セキュリティ人材の雇用や育成に対する継続的な支援が求められます。
教育機関サイバー攻撃統計(2025年1-10月)
| 指標 | 2024年同期 | 2025年 | 増減率 | 備考 |
|---|---|---|---|---|
| 総攻撃件数 | 56件 | 208件 | +271% | 報告ベース |
| ランサムウェア | 12件 | 68件 | +467% | 特に私立大学 |
| データ流出 | 8件 | 45件 | +463% | 研究データ含む |
| 不正アクセス | 24件 | 73件 | +204% | アカウント乗っ取り |
| システム停止日数(平均) | 3.2日 | 8.7日 | +172% | 業務への影響甚大 |
| 総被害額 | 120億円 | 500億円+ | +317% | 推計、間接損失含む |
| 個人情報漏洩件数 | 48万件 | 180万件 | +275% | 児童生徒・教職員 |
| 身代金支払い(判明分) | 2件・8千万円 | 12件・9億円 | - | 実際はより多い可能性 |
大学規模別被害状況(2025年)
| 大学分類 | 総数 | 被害件数 | 被害率 | 平均被害額 | 主な攻撃種別 | セキュリティ予算(平均) |
|---|---|---|---|---|---|---|
| 国立大学 | 86 | 23 | 26.7% | 12億円 | データ窃取、APT | 年間8,000万円 |
| 公立大学 | 94 | 18 | 19.1% | 5億円 | ランサムウェア | 年間3,000万円 |
| 私立大学(大規模) | 112 | 38 | 33.9% | 8億円 | ランサムウェア | 年間5,000万円 |
| 私立大学(中小規模) | 512 | 78 | 15.2% | 2億円 | ランサムウェア、不正アクセス | 年間1,000万円 |
| 短期大学 | 312 | 12 | 3.8% | 8,000万円 | 不正アクセス | 年間500万円 |
| 高等専門学校 | 57 | 7 | 12.3% | 1.5億円 | データ窃取 | 年間2,000万円 |
GIGAスクール端末のリスク一覧
| リスク項目 | 深刻度 | 発生頻度 | 影響範囲 | 主な原因 | 対策の優先度 |
|---|---|---|---|---|---|
| MDM未導入による管理不能 | 高 | 30%の端末 | 全学 | 予算・技術不足 | 最高 |
| OSアップデート遅延 | 高 | 40%の端末 | 個別端末 | 管理体制不備 | 高 |
| 家庭ネットワーク経由感染 | 中 | 月10-20件/千台 | 個別端末→学校 | 家庭のセキュリティ意識 | 高 |
| フィルタリング回避 | 中 | 5-10% | 個別端末 | 技術的対策の限界 | 中 |
| 紛失・盗難 | 中 | 年間1-2%/千台 | 個別情報 | 管理意識不足 | 中 |
| 不適切アプリインストール | 低〜中 | 15-20% | 個別端末 | 制限の不備 | 中 |
| 物理的破損 | 低 | 年間3-5%/千台 | 個別端末 | 取扱いの不注意 | 低 |
| バッテリー劣化 | 低 | 3年後50%+ | 個別端末 | 経年劣化 | 低 |
文科省ガイドライン要件(第3版・2025年)
| 要件カテゴリ | 具体的要件 | 対象 | 期限 | 違反時の措置 |
|---|---|---|---|---|
| ポリシー策定 | セキュリティポリシーの策定・公開 | 全教育機関 | 2026年3月 | 補助金減額の可能性 |
| CISO設置 | 専任または兼任のCISO任命 | 大学・教委 | 2026年度内 | 推奨(義務ではない) |
| ネットワーク分離 | 校務系・学習系の論理的分離 | 全学校 | 2027年3月 | 段階的実施を認める |
| MFA導入 | 管理者アカウントのMFA必須 | 全教育機関 | 2026年3月 | 必須 |
| バックアップ | 3-2-1ルールに基づく実施 | 全教育機関 | 即時 | 必須 |
| 教育実施 | 年次セキュリティ教育の実施 | 全教職員 | 毎年度 | 実施報告義務 |
| インシデント報告 | 重大事案の48時間以内報告 | 全教育機関 | 即時 | 法令上の義務 |
| 定期監査 | 内部監査の年次実施 | 大学 | 毎年度 | 推奨 |
よくある質問(FAQ)
- Q: なぜ教育機関が狙われやすいのですか?
- A: 教育機関が狙われる理由は6つあります。①予算不足により、セキュリティ投資が後回しになりがちです。民間企業と比べて予算規模が小さく、IT予算全体の10%未満しかセキュリティに充てられていません。②貴重な研究データや大量の個人情報を保有しています。先端技術の研究成果は産業スパイの標的となり、児童生徒の個人情報は闇市場で取引されます。③オープンな学術文化により、セキュリティ意識が相対的に低い傾向があります。「情報は共有すべき」という価値観が、時にセキュリティとぶつかります。④学生から教職員まで、ITリテラシーに大きな差があり、最も脆弱な人がセキュリティホールとなります。⑤BYOD(私物端末の持ち込み)が一般的で、管理が困難です。⑥国際共同研究などで外部との接続が多く、攻撃経路が増えます。これらの要因が重なり、教育機関は攻撃者にとって「狙いやすい標的」となっています。対策には、経営層の意識改革、適切な予算配分、全構成員への教育が不可欠です。
- Q: GIGAスクール端末のセキュリティは大丈夫?
- A: 率直に言えば、大きな課題が山積しています。主な問題点は次の通りです。①全体の約30%がMDM未導入で、端末の状態を把握・管理できていません。②OSやアプリのアップデートが遅延し、既知の脆弱性を抱えたまま使用されています。③児童生徒がフィルタリングを回避し、不適切なサイトにアクセスするケースがあります。④家庭のセキュリティが不十分なネットワーク経由でマルウェアに感染するリスクがあります。⑤紛失や破損が発生した際の対応手順が整備されていません。これらの課題に対する対策として、MDMの早期導入が最優先です。自治体の財政が厳しい場合は、複数自治体での共同調達でコストを削減できます。定期的な設定確認と、自動アップデートの有効化も重要です。家庭向けにセキュリティガイドラインを配布し、保護者の協力を得ることも効果的です。予備機を確保し、問題のある端末は直ちに回収・修理できる体制を整えます。完璧な対策は困難ですが、基本的な衛生管理を徹底することで、被害を最小限に抑えられます。
- Q: 限られた予算でどう対策すればいい?
- A: 予算が限られている場合、優先順位を明確にし、共同対策や無料ツールを活用することが重要です。まず必須の対策として、①データバックアップを3-2-1ルール(3つのコピー、2種類のメディア、1つはオフサイト)で実施します。クラウドストレージを活用すれば比較的低コストで実現可能です。②パスワード管理を徹底し、複雑なパスワードの使用と多要素認証を導入します。多くのサービスでMFAは無料で提供されています。③全教職員へのセキュリティ教育を実施します。外部講師を招くのが難しければ、IPAや文科省が提供する無料教材を活用できます。次に、共同対策として、近隣の学校や自治体と共同でSOCを運営し、専門人材とコストを共有します。教育ISACに参加し、脅威情報を共有することで、単独では得られない情報を入手できます。セキュリティ機器やソフトウェアを共同調達することで、スケールメリットを活かせます。無料または安価なツールとしては、GoogleやMicrosoftが教育機関向けに提供するセキュリティ機能を最大限活用します。オープンソースのセキュリティツール(例:Snort、OSSEC等)も選択肢です。外部支援として、文科省のセキュリティ対策補助金を積極的に活用し、地域のIT企業にCSR活動としての支援を依頼することも検討できます。限られた予算でも、工夫次第で基本的なセキュリティレベルは確保できます。
- Q: オンライン授業のセキュリティ対策は?
- A: オンライン授業では、利便性とセキュリティのバランスが重要です。具体的な対策は以下の通りです。①待機室機能を必ず設定し、授業開始前に参加者を確認してから入室を許可します。②授業録画は本当に必要な場合のみ行い、録画データへのアクセスは厳格に制限します。一定期間経過後の自動削除も検討します。③画面共有は教員のみに限定し、学生の画面共有が必要な場合は事前に許可制とします。④チャット機能は、授業の妨げになる場合は無効化するか、教員のみに送信できるよう制限します。⑤授業ごとに異なるパスワードを設定し、授業URL の使い回しを禁止します。URLをSNSで公開しないよう学生に徹底します。⑥定期的にパスワードを変更し、特に長期間同じURLを使う場合は要注意です。⑦教員はVPNを使用して接続することを推奨します。自宅のネットワークが侵害されていても、大学システムへの影響を最小化できます。LMSのセキュリティ対策としては、①多要素認証を有効化し、パスワードだけでなく追加の認証要素を求めます。②定期的なアカウント棚卸しを実施し、卒業生や退職者のアカウントを無効化します。③プラグインは必要最小限とし、定期的に更新状況を確認します。④毎日バックアップを取得し、ランサムウェア攻撃に備えます。これらの対策を、学生・教員にとって過度な負担とならないよう、バランスを取りながら実装することが成功の鍵です。
まとめ
2025年、教育機関へのサイバー攻撃は前例のない規模と深刻度に達しました。大学の研究データから小学生の個人情報まで、あらゆる教育データが攻撃者の標的となっています。GIGAスクール構想による2,000万台の端末配布、オンライン教育の定着は、新たな脆弱性を生み出しました。
教育機関が直面する「予算不足」「人材不足」「意識不足」という三重苦は深刻ですが、克服不可能ではありません。共同でのSOC運営、無料ツールの活用、産学官連携により、限られたリソースでも基本的なセキュリティレベルは確保できます。
最も重要なのは、セキュリティを「IT部門の問題」ではなく、「組織全体の問題」として位置づけることです。経営層のコミットメント、教職員の意識向上、児童生徒への教育—全てのステークホルダーが一体となって取り組む必要があります。
2026年に向けて、文部科学省の新ガイドライン遵守、セキュリティ・バイ・デザインの徹底、継続的な教育と訓練が求められます。教育の場が安全に保たれてこそ、真の学びが実現できます。今こそ、教育機関のサイバーセキュリティ強化に本腰を入れるべき時です。
関連記事
- マルウェア感染:包括的な対策ガイド
- ランサムウェア
- フィッシング
- 標的型攻撃(APT)
- 個人情報(PII)漏洩
- BYOD管理
- 内部不正(インサイダー脅威)
- セキュリティ教育・訓練
- 公開バケット・共有の露出
【重要なお知らせ】
- 本記事は一般的な情報提供を目的としており、個別の状況に対する法的助言や技術的助言ではありません
- 実際にサイバー攻撃の被害に遭われた場合は、警察(#9110)、文部科学省、IPA(情報処理推進機構)、JPCERT/CCなどの公的機関にご相談ください
- セキュリティ対策の実装にあたっては、専門家のアドバイスを受けることを強く推奨します
- 記載内容は2025年11月時点の情報であり、脅威や対策技術は日々進化している可能性があります
- 教育現場での実装にあたっては、文部科学省のガイドラインを必ず参照してください
更新履歴
- 初稿公開
