福島県立川俣高校でランサムウェア被害、96人の個人情報漏えい疑い

福島県立高校でランサムウェア被害

96人の個人情報漏えい疑い、教育データサービス狙う巧妙手口

福島県は2025年12月19日、県立川俣高校の生徒と教員96人分の個人データが流出した恐れがあると発表しました。同校が利用していた非認知能力成長支援サービス「Edv Path」を運営するEdv Future株式会社が、外部からのランサムウェア攻撃を受けたことが原因です。

今回の事案は、教育現場における新たなサイバー攻撃の脅威を浮き彫りにしました。攻撃者は学習データを含む機微な個人情報を標的としており、教育機関のデジタル化が進む中で、セキュリティ対策の重要性が改めて問われています。

教育支援サービスが狙われたランサムウェア攻撃

Edv Future社によると、2025年12月2日未明に同社のデータベース環境に対して外部からの不正アクセスが発生しました。調査の結果、ランサムウェアによる攻撃の痕跡が確認されており、データの一部が消去された可能性があります。

川俣高校で漏えいした疑いがあるのは、2025年度に在籍している生徒56人と2024年度に卒業した14人、教員26人の個人情報です。具体的には氏名、性別、メールアドレスのほか、「自己肯定感」や「社会性」といった心理状況を把握するための回答データも含まれています。

「教育データまで狙われるなんて、子どもたちが安心して学べない」
「学習アプリの回答まで漏れるって、プライバシーなんてあったもんじゃない」
「ランサムウェアって何度も聞くけど、学校のセキュリティは大丈夫なの？」
「個人情報保護法があっても、こんなに簡単に漏れるものなのか」
「教育現場のデジタル化は進めるべきだが、安全対策が追いついていない」

全国規模で拡大する被害、茨城県では3500人超

今回のサイバー攻撃は福島県だけでなく、全国の教育機関に深刻な影響を与えています。茨城県教育委員会は12月15日、県立学校7校で生徒と教員計3539人分の個人情報が漏えいした可能性があると発表しました。また、徳島県や北海道でも同様の被害が報告されており、被害は少なくとも10以上の都道府県に及んでいるとみられます。

Edv Pathは非認知能力の可視化と育成支援を行うサービスとして、多くの教育機関で導入されていました。同サービスでは、生徒が質問に回答することで、数値化が困難なコミュニケーション力や学習意欲などの能力を測定しています。

攻撃者は教育データの価値を理解しており、単なる氏名や連絡先だけでなく、生徒の内面的な特性に関するデータまで狙っていました。こうした心理的なプロファイリングデータは、将来的な悪用リスクが高く、被害の深刻さを物語っています。

2025年に激増するランサムウェア攻撃

今回の事案は、2025年に入って急増しているランサムウェア攻撃の一環です。トレンドマイクロの調査によると、2025年第1四半期だけで18件のランサムウェア攻撃被害が公表されており、教育機関や医療機関などの社会インフラが狙われる傾向が強まっています。

特に教育分野では、学校法人宮城学院で約3万件の個人情報漏えいが発生するなど、大規模な被害事例が相次いでいます。攻撃者は教育機関のセキュリティ体制の脆弱性を狙い撃ちしており、デジタル化を進める学校現場にとって深刻な脅威となっています。

現時点でEdv Future社からは、漏えいした情報が悪用された事実は確認されていないと報告されています。同社は攻撃経路の遮断、認証方式の強化、外部専門機関によるセキュリティ診断の追加実施などの対策を講じており、警察への通報と個人情報保護委員会への報告も完了しています。