学校法人宮城学院がランサムウェア被害、約3万件の個人情報漏えいの可能性

学校法人宮城学院は2025年9月24日、ランサムウェアを含む大規模サイバー攻撃を受けたことを発表しました。

発表によると、2025年5月12日に同学院の大学教務システムサーバーがダウンしていたことを受けて調査を行った結果、ファイルの拡張子や設定内容を改ざんされるなど、複数のサーバー等がランサムウェアを含む大規模サイバー攻撃を受けたことを確認したとしています。

同学院が外部の専門会社の支援を受けながら調査を行った結果、本事案は、ユーザーIDやパスワード等のアカウント情報が外部攻撃者によって窃取されたことが原因であると推測されています。窃取されたアカウント情報による外部攻撃者からの学内ネットワークへの侵入が、ランサムウェア被害と個人情報の漏えいにつながったと報告しています。

この事態によって、9名の個人情報が外部に漏えいしたことが確認されています。加えて、1995年度～2025年度までの間に在籍・在職した学生・生徒・園児、教職員等の約30,000名についても、個人情報が漏えいした可能性を公表しています。2025年9月24日の発表時点でこれらの個人情報が公開されている形跡は認められていません。そのほか、同学院が管理する各種業務関連文書やサーバーのバックアップファイル等についても漏えいした可能性があるとしています。

また、二次被害についても発表時点では確認されていないと報告しています。

同学院は、対象者に対して個別にお詫びとお知らせを送付し、専用の問い合わせ窓口を設置しています。個人情報を悪用したフィッシングメールやスパムメール等の不審な連絡に注意するよう呼びかけるとともに、個人情報保護委員会へ報告を行い、セキュリティ体制の強化を図り、再発防止に努めるとしています。