セキュリティニュース

東京都立大学 教員の個人Googleアカウント不正アクセス イベント申込者180件の個人情報流出か

東京都公立大学法人は7日、東京都立大学経営学研究科の教員が個人で取得したGoogleアカウントへの不正アクセスにより、同大経済経営学部・経営学研究科主催のイベント申込者等の個人情報約180件および当該教員が過去に送受信したメールの情報が外部へ流出した可能性があると発表した。2025年12月2日に海外の研究者のアカウントから受信したフィッシングメールの誘導により、アカウント情報が窃取されたという。現時点で個人情報流出やそれに伴う被害等の連絡は受けていないとしている。

不正アクセスによる個人情報流出の可能性に関するお詫びとお知らせ|東京都公立大学法人より引用

12月2日にフィッシングメールで被害

同法人によると、2025年12月2日、海外の研究者のアカウントから受信したフィッシングメールの誘導により、同大教員が個人で取得したGoogleアカウント情報を入力し、アカウント情報が窃取された。

フィッシングメールは正規のサービスや組織を装い、偽のログインページなどに誘導して認証情報を盗み取る手口だ。今回は海外の研究者のアカウントから送信されたため、教員が信頼して開封した可能性がある。

1月7日に不正アクセスを認知

2026年1月7日、当該教員のアカウントから複数の宛先へ、ドキュメント共有を装うフィッシングメールが発信され、受信者からの連絡により不正アクセスを認知したという。

アカウント窃取から約1カ月後に不正利用が発覚した形だ。この間、攻撃者はアカウント内の情報を閲覧したり、さらなる攻撃の準備を進めたりしていた可能性がある。

イベント申込者180件の情報流出か

流出した可能性がある個人情報は、2017年度、2023年度、2024年度に開催した同大経済経営学部・経営学研究科主催のイベントへの申込およびアンケート回答情報180件だ。氏名、メールアドレス、所属機関、電話番号等が含まれる。

また、当該教員が過去に送受信したメールに係る情報(メールアドレス、本文、添付資料等)も流出した可能性があるという。メール内容には学術的な議論や研究情報、学内の業務連絡などが含まれていた可能性がある。

個人Googleアカウント利用のリスク

今回の事案で注目されるのは、教員が個人で取得したGoogleアカウントが不正アクセスを受けた点だ。大学の公式アカウントではなく、教員が個人的に管理していたアカウントで業務を行っていたとみられる。

個人アカウントの利用は、大学の組織的なセキュリティ対策が及びにくく、多要素認証の未設定やパスワード管理の不徹底などのリスクがある。また、大学側も不正アクセスの早期検知が困難になる。

業務と個人アカウントの混在

教員が個人のGoogleアカウントで大学主催イベントの申込情報を管理していたことは、業務と個人の情報管理の境界が曖昧だったことを示唆する。本来、組織の業務情報は組織のアカウントで管理すべきだが、利便性などの理由から個人アカウントを使用するケースは少なくない。

こうした運用は、セキュリティインシデント発生時の対応を困難にし、情報流出のリスクを高める。組織としての統一的な情報管理ルールの徹底が求められる。

海外研究者アカウントからの攻撃

今回、海外の研究者のアカウントからフィッシングメールが送信されたという点も重要だ。これは、当該研究者のアカウントも既に侵害されていたことを意味する。

攻撃者は最初の標的のアカウントを乗っ取り、そのアカウントの連絡先リストを使って次々と攻撃を拡大する手法を取ることが多い。研究者同士のメールのやり取りは信頼性が高いため、フィッシングメールであっても疑われにくい。

約1カ月の空白期間

アカウント情報が窃取された12月2日から不正アクセスが発覚した1月7日まで、約1カ月の期間がある。この間、攻撃者は窃取したアカウントで何を行っていたのかは明らかにされていない。

一般的に、攻撃者はアカウントを乗っ取った後、すぐには大規模な攻撃を行わず、まずアカウント内の情報を収集し、さらなる攻撃の準備を進めることが多い。今回も、メール内容の閲覧や連絡先リストの収集などが行われた可能性がある。

現時点で被害報告なし

同法人は、現時点では個人情報流出やそれに伴う被害等の連絡は受けていないとしている。ただし、情報が流出した可能性は否定できず、今後、実際に第三者への流出などの事実が確認された場合は、該当者へ速やかに周知するという。

被害が顕在化するまでに時間がかかることもあり、引き続き注意が必要だ。流出した可能性のある情報を使った標的型攻撃やなりすまし詐欺などが後日発生するリスクがある。

該当者に説明と謝罪

同法人は、該当する関係者には本件に関する説明と謝罪を行っているとしている。イベント申込者やメールでやり取りをした相手など、影響を受ける可能性のある人々に個別に連絡を取っているとみられる。

今後、不審なメールや連絡を受けた場合には、大学へ確認するよう呼びかけることも重要だ。攻撃者が入手した情報を使って、さらなるフィッシング攻撃を仕掛けてくる可能性がある。

全学的な再発防止策

同法人は、本学教職員に対する個人情報およびアカウント情報の管理徹底を周知するとともに、より個人情報管理が徹底されるよう、全学的な検討を行い、対策を講じていくとしている。

具体的な対策としては、個人アカウントの業務利用禁止、多要素認証の必須化、フィッシングメール対策の教育強化、定期的なセキュリティ監査などが考えられる。特に個人アカウントで業務情報を扱わないよう徹底することが重要だ。

大学のセキュリティ課題

大学では教員の裁量が大きく、業務の進め方や情報管理の方法も個人に委ねられることが多い。研究活動の自由を尊重する文化もあり、組織的なセキュリティルールの徹底が困難な面がある。

一方で、大学は学生や教職員、研究協力者など多数の個人情報を扱い、また研究成果や知的財産など重要な情報資産を持つ。適切なセキュリティ管理と学問の自由のバランスをどう取るかが課題となる。

フィッシング攻撃の巧妙化

今回の事案は、研究者や大学教員を標的としたフィッシング攻撃の脅威を改めて示した。研究者は国際的なネットワークを持ち、日常的に海外の研究者とメールでやり取りをする。攻撃者はこうした信頼関係を悪用する。

特に海外の知人からのメールは、時差や文化の違いもあり、多少不自然な点があっても疑われにくい。研究者や教員向けのセキュリティ教育では、こうした実際の攻撃手口を具体的に示すことが効果的だ。

東京都立大学について

東京都立大学は東京都八王子市に本部を置く公立大学で、東京都公立大学法人が運営する。旧称は東京都立大学(1949年設置)で、2005年に首都大学東京となり、2020年に東京都立大学に改称した。

経済経営学部・経営学研究科は同大の主要な学部・研究科の一つで、経済学や経営学の教育・研究を行っている。今回の事案は、同学部・研究科の信頼性に影響を与える可能性があり、適切な情報管理と再発防止が求められる。

関連記事

著者紹介:CCSIセキュリティメディア編集部

CCSIセキュリティメディア編集部 サイバーセキュリティメディア、CCSI編集部です。


カテゴリ:
タグ:,,