金沢高等学校は5月20日、口座引き落とし業務の委託先である株式会社石川コンピュータ・センター(ICC)が第三者によるサイバー攻撃を受け、同校に在籍する生徒の保護者口座情報が漏えいした可能性があると保護者向けに公表した。ICCはすでに不正アクセス経路の遮断などの初動対応を実施し、警察への通報も済ませたという。漏えい範囲は調査中で、現時点で当該情報の不正利用は確認されていない。
3行要約
見出し
何が起きた:金沢高校が口座引き落とし業務を委託する株式会社石川コンピュータ・センター(ICC)が不正アクセスを受け、サーバ内のデータが外部に漏えいした可能性があると判明した。
影響:漏えいが懸念されるのは在籍生徒の保護者口座情報。具体的には生徒名、銀行名、支店名、口座番号、口座名義人の5項目が含まれる。現時点で不正利用の事実は確認されていない。
対応:ICCが不正アクセス経路を遮断し、警察に通報。金沢高校は保護者に対し、ICCを装った不審メール等への警戒を呼びかけている。
わかっていること/わかっていないこと
わかっていること
ICCが第三者によるサイバー攻撃(不正アクセス)を受けた。
ICCが2026年5月14日に添付ファイル分離メールサーバへの不正アクセスを確認した。
ICCのサーバに保存されていた金沢高校の保護者口座情報が漏えいの可能性のある情報に含まれる。
漏えいが懸念される項目は生徒名・銀行名・支店名・口座番号・口座名義人の5項目。
現時点で当該情報の不正利用は確認されていない。
ICCが不正アクセス経路の遮断などの初動対応を実施済み。
ICCが警察への通報を完了。
わかっていないこと
不正アクセスの発生時期。
侵入経路および攻撃手法。
漏えいした可能性のある具体的な件数。
ICCが業務委託を受ける他の企業・学校への影響範囲。
攻撃者の属性や目的。
委託先サーバが標的に
金沢高校の発表によると、サイバー攻撃を受けたのは一括集金等の口座引き落とし業務を委託しているICC。ICCから同校に対し、第三者による不正アクセスを確認したとの報告があった。ICCのサーバ上のデータがどの程度外部へ漏えいしたかは現在調査中だとしている。
金沢高校はICCからの報告を受け、漏えいが懸念される情報の中に在籍生徒の保護者口座情報が含まれているとして保護者に注意喚起した。漏えい懸念項目として、生徒名、銀行名、支店名、口座番号、口座名義人の5項目を明示している。
二次被害防止へ注意喚起
金沢高校は保護者に対し、ICCを装った不審なメールや見覚えのない添付ファイル付きメールへの警戒を呼びかけている。不正アクセスに関する問い合わせはICC公式サイトの問い合わせフォームへ、銀行口座の変更等は金沢高校公式サイトの問い合わせ窓口へ連絡するよう案内した。
口座情報の漏えいは、フィッシング詐欺や不正送金などの二次被害につながる恐れがある。攻撃者が口座情報を悪用し、金融機関や委託先を装って巧妙な誘導を試みるケースが過去のインシデントでも確認されており、心当たりのない取引や通知に接した際は金融機関へ速やかに連絡することが望ましい。
業務委託先経由のサプライチェーンリスク
本件は、教育機関が自ら攻撃を受けたのではなく、業務委託先のシステムを介して個人情報が漏えいした可能性があるという、サプライチェーン型のインシデントだ。委託先のセキュリティ水準が委託元のリスクに直結する構図であり、近年は学校・自治体・医療機関などで類似の事案が相次いでいる。
委託元としての説明責任、委託先選定時のセキュリティ評価、契約上のインシデント報告義務など、委託管理の在り方が改めて問われる事案といえる。
タイムライン
不正アクセス発生
発生日:不明(ICCが調査中)
確認
確認日:2026年5月14日(ICCが添付ファイル分離メールサーバへの不正アクセスを確認)
報告
2026年5月20日:ICCから金沢高校へ攻撃事実を連絡
2026年5月20日:金沢高校が保護者向け文書を発出
通報
2026年5月20日までに実施:ICCが警察へ通報
初動対応
2026年5月20日までに実施:ICCが不正アクセス経路を遮断