教育支援サービス「Edv Path（エデュパス）」にランサムウェア攻撃、複数の自治体で個人情報流出の可能性

見出し

1 データベース環境に不正侵入、ランサムウェアの痕跡
2 複数の自治体で被害を確認
- 2.1 心理状況に関する回答データも対象
3 システムは復旧、再発防止策を実施
- 3.1 教育現場のセキュリティ対策が課題
4 参考資料・ソース一覧（一次情報）
- 4.1 事業者の公式発表
- 4.2 教育機関・教育委員会の公式発表

教育支援サービス「Edv Path（エデュパス）」を提供するEdv Future株式会社（東京都新宿区）のシステムが12月2日未明にサイバー攻撃を受け、利用していた学校の生徒や教員の個人情報が流出した可能性があることが分かった。同社が12月4日に公表した。ランサムウェアによる攻撃の痕跡が確認されており、大阪市や長野県など複数の自治体で被害が明らかになっている。

データベース環境に不正侵入、ランサムウェアの痕跡

同社によると、12月2日未明、同社が利用するデータベース環境に対し外部から不正アクセスがあり、調査の結果、ランサムウェアの関与が疑われる痕跡を確認した。影響範囲は「Edv Path（エデュパス）」本番データベース環境および一部関連システムで、データの一部が消去された可能性がある。

流出した可能性がある情報は、氏名、性別、学校利用アカウント情報（メールアドレス、ID等）、Edv Path回答データ、利用履歴に関するログ情報（接続日時等）。現時点では、これらの情報が不正に利用された事実は確認されていないという。

複数の自治体で被害を確認

北海道教育委員会は12月8日、道内の小中高28校の児童生徒の個人情報が漏えいした可能性があると発表した。対象は小学校5校、中学校5校、高等学校18校（公立9校、私立9校）で、児童生徒氏名、メールアドレス、ID、性別、回答データなどが含まれる。12月3日に留萌市教育委員会を通じて事態が判明した。

大阪市教育委員会は12月5日、大阪市非認知能力調査に係る試験実施事業に協力する事業者が管理するデータベースが攻撃を受け、参加校の児童生徒及び教職員の個人情報が外部に流出した可能性があると発表した。当該事業者が担当する6校（小学校4校、中学校2校）と、独自で同社のツールを導入している2校の計8校で個人情報漏えいのおそれがあるとしている。現時点で二次被害は確認されていない。

長野県教育委員会は12月10日、県立高等学校1校において274名分の生徒の個人情報が漏えいしたおそれがあると発表。対象は3学年生徒の2年分のデータで、氏名、性別、学校で利用するアカウント情報のほか、自己肯定感や社会性など心理状況を把握するための回答データも含まれる。同社から12月5日に学校に連絡があり、生徒及び保護者への説明が行われた。

群馬県教育委員会は12月12日、県立2校（尾瀬高等学校、大泉高等学校）の生徒及び教職員256名の個人情報が漏えいした疑いがあると発表。尾瀬高等学校は令和7年度の1～3年生106名と教職員26名、大泉高等学校は令和6年度の普通科1～3年生117名と教職員7名が対象となった。

茨城県教育委員会は12月15日、県立5校（土浦湖北高、竜ヶ崎一高・附属中、藤代高、下館一高・附属中、水海道一高）の生徒3,338名（卒業生含む）と教員201名を合わせた3,539名分の個人情報が漏えいした可能性があると発表した。

徳島県教育委員会も12月17日、県立川島高等学校で利用していた同サービスにおいて、令和6年度2年生の氏名データ119名分が漏えいした疑いがあると発表した。

近畿大学附属広島高等学校・中学校東広島校は12月23日、同校が利用していたサービスで生徒・教員の個人情報が流出した可能性がある旨の報告を受けたと公表。該当する生徒、保護者及び関係者には既に経緯の報告を行ったとしている。

心理状況に関する回答データも対象

大阪市の発表によると、同社のサービスは非認知能力調査に係る試験実施事業に活用されていた。長野県の発表では、流出した可能性のある情報の中に、自己肯定感や社会性など心理状況を把握するための回答データが含まれていると明らかにされている。各学校では、該当する生徒や保護者に対し経緯の説明と謝罪を行っている。

システムは復旧、再発防止策を実施

同社は不正アクセスの確認後、直ちに攻撃経路を遮断し、認証方式を強化。外部アクセスからの全遮断、接続口の削除、クラウド内部の専用ネットワーク構築などの技術的対応を実施した。現時点でシステムは通常通り利用可能な状態に復旧しているという。

組織的対策として緊急対応チームを設置し、ログ監視体制の強化と外部監査の導入、個人情報保護に関する教育・訓練の強化を進めている。また、所轄警察署への通報と個人情報保護委員会への報告を行った。

同社は外部専門機関と連携して詳細調査を継続中で、新たな事実が確認され次第、速やかに公表するとしている。一方で、利用者に対し、同社を装った不審なメールやメッセージに注意するよう呼び掛けている。

教育現場のセキュリティ対策が課題

教育分野のデジタル化が進む中、教育データを扱うクラウドサービスのセキュリティ対策が改めて問われる形となった。長野県教育委員会は同社に対し、再発防止策の徹底を求めている。

参考資料・ソース一覧（一次情報）

※本記事で引用した一次情報のみを掲載しています。

事業者の公式発表

「Edv Path」に対する不正アクセスによるシステム障害と個人情報流出の可能性に関するお詫びとお知らせ – Edv Future株式会社（2025年12月4日）
https://edufuture.co.jp/fusei-akusesu/

教育機関・教育委員会の公式発表

教育データサービスを提供している企業による個人情報漏えいのおそれについて – 北海道教育委員会（2025年12月8日）
https://dokyoi.pref.hokkaido.lg.jp/fs/1/2/6/0/6/5/2/1/_/教育データサービスを提供している企業による個人情報漏えいのおそれについて(25.12.8_13時発表)_高校教育課含む3課.pdf

「大阪市非認知能力調査に係る試験実施事業」の一部参加校及び独自で非認知能力可視化ツールを導入している学校において個人情報が漏えいしたおそれについて – 大阪市教育委員会（2025年12月5日）
https://www.city.osaka.lg.jp/hodoshiryo/kyoiku/0000667291.html

教育支援サービスを導入している県立高等学校において個人情報が漏えいしたおそれのある事案が発生しました – 長野県教育委員会（2025年12月10日）
https://www.pref.nagano.lg.jp/kyoiku/koko/johoroeiosore1210.html

県立高校が利用する外部サービスへの不正アクセスの発生について – 群馬県教育委員会（2025年12月12日）
https://www.pref.gunma.jp/site/houdou/734494.html

Edv Future株式会社への不正アクセスに係る県立学校への影響について – 茨城県教育委員会（2025年12月15日）
https://kyoiku.pref.ibaraki.jp/wp-content/uploads/2025/12/449217f5a392da001de104ef304c4923.pdf

Edv Future株式会社への不正アクセスに係る県立学校への影響について – 徳島県教育委員会（2025年12月17日）
https://www.pref.tokushima.lg.jp/ippannokata/kyoiku/gakkokyoiku/7309345/

「Edv Path」への不正アクセスによる生徒・教員の個人情報流出の恐れについて – 近畿大学附属広島高等学校・中学校東広島校（2025年12月23日）
https://hh.kindai.ac.jp/news/%E3%80%8Cedv-path%E3%80%8D%E3%81%B8%E3%81%AE%E4%B8%8D%E6%AD%A3%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%81%AB%E3%82%88%E3%82%8B%E7%94%9F%E5%BE%92%E3%83%BB%E6%95%99%E5%93%A1%E3%81%AE%E5%80%8B%E4%BA%BA/