はじめに

2026年3月、東京大学の研究室サーバーが外部からの不正アクセスを受けたことが公表されました。共同研究者の学外サーバーを起点とした連鎖的な攻撃手法が用いられ、学内外の複数サーバーに影響が及んだとされています。

大学や教育機関を狙ったサイバー攻撃は近年急増しており、もはや一部の有名大学だけの問題ではありません。文部科学省とIPAの共同調査によれば、2025年1月から10月までに国内の教育機関が受けたサイバー攻撃は報告分だけで200件を超え、前年同期比で4.5倍という急激な増加を記録しました。

本記事では、東京大学の事案を手がかりに、なぜ大学がサイバー攻撃の格好の標的となっているのか、その構造的な要因と今後の対策について解説します。

東京大学への不正アクセス事案の全容

共同研究者経由の連鎖攻撃

東京大学は2026年3月10日、研究室が管理するサーバーに対し第三者による不正アクセスがあったと発表しました。攻撃の起点となったのは、当該サーバーにアカウントを持つ共同研究者が利用していた学外のサーバーです。

この学外サーバーが先に不正アクセスを受け、共同研究者のアカウント情報が窃取されました。攻撃者はその認証情報を悪用して東京大学の研究室サーバーに侵入し、さらにそこを踏み台として学内外の他のサーバーへも不正アクセスを試みたとされています。いわゆる「ラテラルムーブメント（横展開）」と呼ばれる手法です。

被害状況と大学の対応

東京大学によれば、不正アクセスを受けたサーバーは主に公開データを活用した研究・計算処理に使用されていたため、個人情報や機微情報の漏えいは現時点で確認されていません。大学側は不審な通信を検知した直後にサーバーをネットワークから遮断し、警察や関係機関と連携して調査を進めています。

ただし、こうしたサイバー攻撃では被害の全容把握に時間がかかることが一般的です。東京大学では過去にも2023年に個人情報約4,300件が流出する不正アクセス事案が発生しており、今回の事案でも今後新たな事実が判明する可能性は否定できません。

大学がサイバー攻撃の標的になる構造的要因

オープンな環境と脆弱なセキュリティ体制

大学が狙われる最大の理由は、その組織特性にあります。大学のネットワークは研究室、事務部門、図書館、学生寮など多岐にわたり、外部の研究者や学生が自由にアクセスできるオープンな環境が求められます。この開放性がセキュリティ上の弱点となっています。

さらに、大学のシステム管理は学部や研究室単位で分散して行われるケースが多く、セキュリティポリシーの統一が困難です。各研究室が独自にサーバーを運用し、異なるOSやソフトウェアが混在する環境は、一貫した防御策の適用を難しくしています。

企業であれば情報システム部門が一元的にセキュリティを管理できますが、大学では学問の自由や研究の独立性が重視されるため、トップダウンでの統制が取りにくいという構造的な問題があります。

高価値な研究データと知的財産

大学には学生・教職員の個人情報だけでなく、先端技術の研究データや知的財産が集積しています。特にAI、量子コンピューティング、バイオテクノロジーなどの分野では、国家レベルのサイバー攻撃グループが大学を標的にする事例が国際的に報告されています。

セキュリティ企業の分析によれば、中国のAPT（高度持続的脅威）グループによる攻撃対象業界の中で教育機関は第3位、北朝鮮からの攻撃では第2位に位置づけられているとされています。研究データは企業の営業秘密と異なり、論文発表前の段階では保護意識が低いことも、攻撃者にとって魅力的な要因です。

予算・人材の圧倒的な不足

大学のセキュリティ対策が進まないもう一つの大きな要因は、予算と人材の不足です。多くの大学では限られた運営費の中からセキュリティ投資を行う必要があり、高度なセキュリティ製品の導入や専門人材の確保が困難な状況にあります。

経済産業省の調査によれば、日本全体でサイバーセキュリティ人材が約11万人不足しているとされています。この人材不足は民間企業でも深刻ですが、給与水準で民間に劣る大学ではさらに採用が難しく、情報システム担当者がセキュリティ業務を兼任しているケースも少なくありません。

企業にも共通するサプライチェーン攻撃の脅威

アサヒグループ・アスクルの事例が示す教訓

大学だけでなく、企業もサイバー攻撃の深刻な脅威に直面しています。2025年秋にはアサヒグループホールディングスとアスクルがランサムウェア攻撃を受け、大規模なシステム障害が発生しました。

アサヒグループでは受注・出荷業務やコールセンター業務が停止し、物流システムの完全復旧は2026年2月までかかりました。アスクルでも個人情報約74万件が流出し、攻撃者は発覚の数か月前からシステムに侵入していたことが判明しています。

共通する「サプライチェーン」の弱点

東京大学の事案で注目すべきは、直接大学のシステムが突破されたのではなく、共同研究者という「サプライチェーン」を経由して侵入されたという点です。これは企業におけるサプライチェーン攻撃と同じ構図です。

取引先や協力企業のセキュリティが脆弱であれば、そこを踏み台にして本丸に侵入されるリスクがあります。大学の場合、国内外の多数の研究機関や企業と共同研究を行っているため、このリスクはさらに高くなります。自組織のセキュリティだけでなく、連携先を含めた包括的な防御体制が求められています。

注意点・今後の展望

制度面での動き

文部科学省は2025年7月に「教育情報セキュリティポリシーガイドライン第3版」を公表し、全ての教育機関に対して独自のセキュリティポリシー策定を義務づけました。また、NISCの「サイバーセキュリティ2025」でも大学・研究機関のセキュリティ強化が重点項目として位置づけられています。

国際的には、米国が連邦研究費を受ける機関に対してサイバー対策を含む研究セキュリティの確保を義務化する動きを進めており、日本でも同様の制度整備が求められる方向にあります。

今後注視すべきポイント

大学のサイバーセキュリティは今後も重要な課題であり続けます。特に以下の点に注目が必要です。

一つ目は、オンライン教育の定着によって攻撃対象となるシステムが拡大し続けていることです。コロナ禍を契機に導入されたリモートアクセス環境やクラウドサービスの管理が新たな課題となっています。

二つ目は、AI技術の発展によりサイバー攻撃そのものが高度化していることです。フィッシングメールの精巧化や脆弱性の自動探索など、攻撃者側の能力が急速に向上しています。

まとめ

東京大学への不正アクセス事案は、共同研究者の学外サーバーを起点とした連鎖的な攻撃という手口が特徴的でした。大学が狙われる背景には、オープンな環境、分散した管理体制、高価値な研究データの存在、そして予算・人材の不足という構造的な要因があります。

2025年に教育機関への攻撃が前年比4.5倍に急増した事実は、この問題が一時的なものではなく、今後も深刻化し得ることを示しています。大学関係者はもちろん、共同研究を行う企業や組織にとっても、セキュリティ対策の見直しと強化が急務です。自組織の防御だけでなく、連携先を含めたサプライチェーン全体のセキュリティを意識することが、被害を防ぐ鍵となるでしょう。

参考資料:

• 本学研究室のサーバに対する不正アクセスに関するお知らせ - 東京大学
• 東大研究室のサーバに不正アクセス - ITmedia NEWS
• 「東大」がサイバー攻撃被害 研究室サーバーに侵入した連鎖的な手口 - サイバーセキュリティ総研
• 研究室サーバに不正アクセス、学外サーバ侵害からの連鎖で 東大 - Security NEXT
• 教育機関を狙うサイバー攻撃急増2025 - Guardian
• 大学における基本的なサイバーセキュリティ対策 - EY Japan
• 大学・専門学校を襲うセキュリティリスク 2025年上半期の事例 - IIJ Global Reach
• サイバー攻撃被害の再発防止策とガバナンス体制の強化について - アサヒグループホールディングス