【2026年】東京都立大学でフィッシング被害発生、海外研究者なりすましで423件の個人情報流出の可能性
2026年1月13日、東京都立大学経営学研究科の教員がフィッシング攻撃の被害に遭い、423件の個人情報が外部に流出した可能性があることが明らかになりました。この事案は、海外研究者のアカウントを悪用した巧妙な手口で行われ、学術機関の情報セキュリティの脆弱性を露呈する深刻な事態となっています。被害教員は2025年12月2日にフィッシングメールを受信し、約1か月後の2026年1月7日に不正なメール送信によって発覚するという、比較的長期間にわたって攻撃者にアカウントを悪用され続けていました。
海外研究者を装った巧妙なフィッシング手口の詳細
今回の攻撃で特に注目すべきは、攻撃者が海外研究者のアカウントから送信されたメールを用いてフィッシング攻撃を行った点です。これは、学術機関において日常的に行われる国際的な研究交流を悪用した極めて巧妙な手口と言えるでしょう。大学教員は研究活動の一環として海外の研究者とのメールのやり取りが頻繁にあり、そうした信頼関係を逆手に取った攻撃手法です。被害教員は2025年12月2日に受信したメールに記載された誘導先で、個人で利用しているGoogleアカウントの認証情報を入力してしまいました。このことから、攻撃者は単に大学の公式システムではなく、教員が個人的に使用しているクラウドサービスをターゲットにしていたことが分かります。個人アカウントは大学の管理下になく、セキュリティ対策が不十分になりがちであることを狙った戦略的な攻撃と考えられます。
423件の個人情報流出の詳細と影響範囲
流出した可能性のある個人情報は合計423件に及びますが、その内訳は複数のカテゴリーに分かれています。まず、同科主催イベントの申込者やアンケート回答者に関する情報として、氏名、電話番号、勤務先、メールアドレスなど180件が含まれています。さらに深刻なのは、同科の入試合格者の氏名や住所、勤務先、メールアドレスなど249件の情報も流出した可能性があることです。入試合格者の情報には、これから学生になる予定の個人の詳細な住所情報まで含まれており、プライバシーへの影響は甚大です。また、同教員が過去に送受信したメールに関する情報も含まれているとされ、研究活動に関する機密性の高い情報や、他の研究者との間でやり取りされた学術的な内容まで攻撃者に渡っている可能性があります。東京都立大学では対象者に一部重複があるとしていますが、これだけの規模の情報流出は同大学にとって重大な危機管理案件となっています。
発覚までの経緯と大学の対応体制
この事件の発覚経緯も注目すべき点があります。攻撃者は乗っ取ったアカウントを約1か月間保持し続け、2026年1月7日になって複数の宛先に対し「ドキュメント共有を装うフィッシングメール」を送信しました。これは二次被害を狙った攻撃であり、最初の被害者のアカウントを踏み台にしてさらなる被害者を作り出そうとする典型的な手法です。幸い、このメールを受信した関係者から連絡があったことで不正アクセスが発覚しましたが、もしこの連絡がなければさらに長期間にわたって攻撃が続いていた可能性があります。東京都立大学では問題の発覚を受けて、引き続き情報収集を進めるとともに、対象となる関係者に経緯の説明と謝罪を行っています。しかし、この対応は事後的なものであり、予防的なセキュリティ対策の不備が指摘される可能性があります。特に個人アカウントの使用に関するガイドラインや、フィッシング攻撃に対する教職員への定期的な教育訓練の実施状況が今後問われることになるでしょう。
学術機関が直面するサイバーセキュリティの課題
今回の事件は、学術機関が抱える構造的なサイバーセキュリティの課題を浮き彫りにしています。大学は本質的にオープンな環境を重視する組織であり、研究の自由度を確保するため、企業のような厳格なアクセス制御や情報管理が困難な側面があります。教員は研究活動において個人のクラウドサービスを利用することが多く、大学の管理下にない情報システムで機密性の高い情報を扱うケースが頻繁に発生します。また、国際的な研究交流が活発であることから、海外からの連絡に対して比較的オープンな姿勢を取りがちで、今回のような海外研究者を装った攻撃に対して警戒心が薄くなる傾向があります。さらに、学術機関では学生の個人情報や研究データなど、多様で価値の高い情報資産を保有しているにも関わらず、セキュリティ専門人材の確保や予算の制約により、十分なセキュリティ対策が講じられていないケースも少なくありません。このような環境的特性が、攻撃者にとって学術機関を魅力的なターゲットにしている要因と言えるでしょう。
今後の対策と学術機関全体への警鐘
東京都立大学の事案は、日本全国の学術機関にとって重要な警鐘となります。まず緊急に必要なのは、教職員に対するセキュリティ意識の向上です。特にフィッシング攻撃の最新手口に関する定期的な教育訓練の実施や、疑わしいメールを受信した際の報告体制の確立が急務です。また、個人アカウントの業務利用に関するガイドラインの策定と、多要素認証の導入促進も重要な対策となります。技術的な対策としては、メールセキュリティの強化や、不審なアクセスを検知するためのモニタリングシステムの導入が考えられます。さらに、インシデント発生時の対応体制の整備も不可欠であり、今回のように発覚まで約1か月を要するような事態を避けるため、異常なアクティビティを早期に発見できる仕組みの構築が求められます。学術機関間での情報共有体制の強化も重要で、一つの大学で発生した攻撃手口を他の機関が迅速に把握し、対策を講じられるような連携体制の構築が必要でしょう。この事件を契機として、学術機関全体でサイバーセキュリティ対策の抜本的な見直しが進むことが期待されます。
短期的影響:学術機関でのセキュリティ対策見直しが加速し、教職員向けフィッシング対策訓練の需要が急増。クラウドサービスの多要素認証導入や個人アカウント管理ガイドライン策定が各大学で緊急課題となる。
中長期的影響:学術機関のデジタル変革において、研究の自由度とセキュリティのバランスを取る新たな情報管理体制が確立される。産学連携によるサイバーセキュリティ人材育成プログラムの創設や、学術機関間での脅威情報共有プラットフォームが構築される。
読者への示唆:大学・研究機関は直ちに教職員向けフィッシング対策訓練を実施し、個人クラウドサービス利用ガイドラインを策定すべき。個人は業務で使用するアカウントに多要素認証を設定し、海外研究者からの突然のメールには慎重に対応する習慣を身に付ける必要がある。
