大学を狙った不正アクセス事件から学ぶ ― 中小企業も他人事ではないサイバーリスク

8月も後半、夏休み期間を利用して大学や研究機関がオンラインシステムを稼働させ続けている中で、不正アクセスによる被害が報告されています。直近では、関西の某大学で学内のポータルシステムが侵入され、学生や教職員のアカウント情報が一時的に外部に流出した可能性が指摘されました。幸い、金銭的被害や大規模なシステム停止には至りませんでしたが、数千件単位のログイン情報が対象になったとされています。

教育機関は狙われやすい存在です。研究データや学生の個人情報など、価値のある情報が集中している一方で、利用者が多くセキュリティ教育が行き届きにくいという弱点があります。今回のケースも「使い回しパスワード」や「安易なID管理」が攻撃の突破口になった可能性が高いとみられています。

ここで重要なのは、大学の事件だからといって安心できないということ。中小企業でも、社員アカウントが1つ突破されれば、社内のファイルサーバーやメールシステムに芋づる式に侵入されてしまうリスクがあります。特に近年は「ランサムウェア（身代金要求型ウイルス）」の被害が深刻で、バックアップごと暗号化されるケースも少なくありません。

中小企業が今すぐできる3つの対策

1.　パスワードの強化と多要素認証の導入
複雑なパスワードを設定するだけでなく、ワンタイムコードや認証アプリを併用しましょう。

2.　不審メール対策の徹底
フィッシングメール（偽装メール）は依然として入口攻撃の主流です。不正メール訓練サービスを活用して社員の注意力を高めることが有効です。

3.　システムの脆弱性診断
古いサーバーや未更新ソフトは攻撃者に狙われやすいポイントです。定期的な診断で“穴”をふさぐことが必要です。

「大学の事件」は決して遠い話ではなく、どの企業でも起こり得る現実です。今日からでもできることを始め、被害を最小限に食い止める備えをしましょう。

「国内サイバー事件2選：物流・個人情報への深刻インパクトと教訓」

2025年8月20日（水）。今日は、水曜日の定番テーマ「直近で発生した実際のサイバー事件事例」に注目し、特に国内で話題となった事件を厳選して紹介します。企業の経営層や情報担当者のみなさんにとって、日々の対策に役立つ教訓を見つけましょう。

1. 物流大手・基幹システム停止：ランサムウェアによる全国的混乱（近鉄エクスプレス）

2025年4月23日未明、物流大手・近鉄エクスプレスの基幹システムが突然停止しました。原因はランサムウェアと不正アクセスによる攻撃。全国規模で貨物輸送がストップし、日本航空（JAL）もその影響を公表するほど、業界を揺るがす重大事案でした。対応として、同社は緊急対策本部を設置し、専門家と共同で復旧および外部への報告対応を実施しました  。

教訓：サプライチェーンへの攻撃は、自社だけでなく取引先や業界全体に波及する危険があります。サプライヤーも含めたセキュリティガバナンスの強化が不可欠です。

2. 個人情報149,063件が外部アクセス可能に：宅配関連サービスのシステム不備（株式会社エコ配）

2025年8月12日には、宅配関連サービスを提供する株式会社エコ配で、システムの設定不備により、約14万9千件にのぼる個人情報が第三者から閲覧可能な状態だったことが判明しました 。

教訓：設定ミスなどの単純なミスが、膨大な情報漏洩につながるリスクを忘れてはいけません。システムの定期的な見直しと監査体制の整備が重要です。

経営層へのメッセージと対策提案
•　リスクの可視化：
・物流や個人情報に関わるシステムを持つ企業では、ランサムウェアやアクセス設定ミスによるリスクは高まります。
•　対策の具体例：
・定期バックアップおよびリストア訓練：万一の復旧に備え、日々の運用で確実に機能する体制を。
・アクセス権や設定設定の見直し：設定ミスを防ぐために、複数目線での監査を。
・サプライヤーとの連携強化：外部委託先にもセキュリティ要求や監査権を設定し、全体としての安全性を保ちましょう。

本日は、「近鉄エクスプレスのランサムウェア被害」と「株式会社エコ配の個人情報設定不備」という2件の、国内で起きた直近のインシデントをご紹介しました。いずれも、業務停止や信頼喪失につながる深刻な被害であり、経営層が主体となってセキュリティ体制の再点検と教育、仕組みの整備を進める必要があります。

必要であれば、UTM導入支援や脆弱性診断、不正メール訓練、研修サービスといった弊社の提供サービスも活用いただけますので、ぜひご相談ください。

「中小企業の3割が被害経験あり：帝国データバンク調査が示す“危険な現実”」

今年5月、帝国データバンクが全国の企業約1万社を対象に行った調査で、衝撃的な数字が明らかになりました。
全体の32%が「サイバー攻撃を受けた経験がある」と回答。さらに、直近1か月以内に被害を受けた企業も6.7%に上りました。

◆ 業種・規模を問わない脅威

この調査によると、大企業の被害経験率は41.9%と高い一方で、中小企業でも30.3%、小規模企業でも28.1%と、規模に関係なく被害が発生していることがわかります。
「うちは規模が小さいから狙われない」という考えは、もはや通用しません。
実際、攻撃者はセキュリティ投資が後手に回っている企業を効率的に狙う傾向があります。

◆ 被害の内容と背景

中小企業で多く報告されるのは、
•　フィッシングメールによる情報漏洩
•　ランサムウェアによる業務停止
•　不正アクセスによる顧客情報流出

背景には、
•　社員教育の不足
•　アクセス制御の甘さ
•　脆弱なサーバーやクラウド設定
など、人的要因と技術的要因が複合的に絡んでいます。

今回の調査は、「サイバー攻撃は他人事」という考えを改める警鐘です。
経営者自身が率先して備えを見直し、社員全員を巻き込んだ防御体制を整えることが、これからの企業存続のカギとなります。

では、中小企業の経営社は、まず何をしたら良いでしょう？
自社の情報セキュリティ体制に課題がある、何をしたら良いかわからない、相談する相手がいない、その様なお悩みがありましたら、まずは無料相談からお気軽にどうぞ。

無料相談フォーム
https://www.gatewaylink.co.jp/inquiry_free/

私たちと一緒に、中小企業の情報セキュリティ強化を進めてまいりましょう！
不正メール訓練や脆弱性診断など、初めての導入もサポートしますので、ぜひ一度ご相談ください。

みなさんこんにちは。
今日は「立秋」ですね。
まだまだ厳しい暑さが続いていますが、早朝の空気にはなんとなく秋の気配が感じられる気がしますね。

さて、秋といえば学生たちは2学期のスタートに向けて準備を始める時期。
そんな中、昨今では教育現場でも無視できない“ある問題”が浮かび上がっています。
それが「高校などの学校がサイバー攻撃の標的になる」という事態です——

「高校の成績システムが人質に？教育現場を襲ったランサムウェアの脅威」

最近では企業だけでなく、教育機関もサイバー攻撃の対象となっています。
2024年3月、関東地方のある県立高校で発生したサイバー攻撃は、その象徴的な事例です。

この高校では、成績や出席情報などを管理するシステムが外部からの不正アクセスを受け、ランサムウェアによりデータが暗号化されてしまいました。犯人側は「解除してほしければ金銭を支払え」と脅迫。まさに“デジタル人質”の状態です。

なぜ高校が狙われたのか？

教育現場は意外とセキュリティ対策が後回しになりがちです。
・専任のIT担当者がいない
・外部業者任せで仕組みがブラックボックス
・先生方もセキュリティの意識が低い（メールの添付ファイルをそのまま開くなど）
こうした“スキ”が攻撃者に見抜かれてしまうのです。

具体的な被害と対応

この事例では、
・成績データが一時的に参照不能
・卒業判定に関わる情報が人質に
・保護者への説明対応に多くの時間と労力が必要
となり、学校運営に大きな混乱を招きました。

幸い、バックアップデータが別環境に保存されていたため、金銭の支払いなく復旧できましたが、バックアップがなければ深刻な事態になっていた可能性もあります。

企業・組織にとっての教訓

この事件は教育現場に限らず、すべての中小企業や団体にも通じる教訓です。
・社内システムのバックアップは定期的に実施
・社員教育で不審なメールやリンクに注意喚起
・セキュリティ診断で「外からどう見えるか」を可視化
といった基本の備えが、被害を防ぐ第一歩になります。

当社でも、「不正メール訓練サービス」や「情報セキュリティ研修」を通じて、こうしたリスクへの備えを支援しています。

「明日はあなたの身に起こるかもしれません。今のうちに備えておきましょう！」
ご相談や診断のご希望があれば、いつでもお気軽にお問い合わせください。

無料相談フォーム
https://www.gatewaylink.co.jp/inquiry_free/

“平和”と“デジタルの安全”

～学校も狙われるサイバー攻撃、その実態とは～

本日8月6日は、広島に原爆が投下された日です。
私たちは、二度と同じ悲劇を繰り返さないようにと誓い、平和への思いを新たにする日でもあります。

そして近年では、“平和”や“安全”という言葉に、少しずつ新しい意味が加わり始めています。
たとえば、サイバー空間における安全。目に見えない攻撃が、私たちの生活や教育の現場にも静かに忍び寄っています。

学校が閉鎖！？海外で実際に起きたサイバー被害

昨年2024年9月、イギリスの「チャールズ・ダーウィン・スクール」という中等教育機関が、サイバー攻撃を受けました。
被害は深刻で、システムが使えなくなり、一時的に学校が閉鎖される事態に。

オンライン授業もストップ。生徒への連絡もままならず、学校運営は完全に麻痺してしまいました。

この事件、実は「特別な技術を持ったハッカーが狙った」わけではありません。
多くの学校や教育機関が抱えている、基本的なセキュリティの甘さが原因のひとつと言われています。

日本の学校や中小企業も、例外ではありません

「海外の話でしょ？」と思いたくなる気持ちもよくわかります。

ですが、実際に国内でも、
•　教育委員会のネットワークが不正アクセスを受ける
•　生徒の個人情報が流出する
•　学校のウェブサイトが改ざんされる

といったインシデントは、年々増えています。

特に、クラウド活用やオンライン授業が当たり前になった今、教育現場も立派な“サイバー空間の住人”。
狙われるリスクは、もはや企業と同じなのです。

じゃあ、どう備えるべき？

最低限やっておきたい対策は以下の3つです。
1.　システムやソフトを常に最新に保つこと
2.　不審なメールを開かないよう、教職員や職員に教育すること
3.　外部からの侵入を防ぐセキュリティ機器（たとえばUTMなど）を導入すること

中でもおすすめなのは「不正メール訓練」や「情報セキュリティ研修」。
実際のシミュレーションを通じて、感覚的に学ぶことができるので、効果は抜群です。

最後に

“平和”という言葉には、誰かが守ってくれている「日常の当たり前」が含まれているのかもしれません。
学校が毎日開いていて、子どもたちが安心して学べる環境があることも、そのひとつです。

だからこそ、私たち大人ができる備えは、疎かにしてはいけないと強く感じます。

「中小企業や教育機関の情報セキュリティ強化、私たちがサポートします！」
ご相談や対策のご依頼は、どうぞお気軽にご連絡ください。

無料相談フォーム
https://www.gatewaylink.co.jp/inquiry_free/

では今日もセキュアな一日を。

【開催報告】愛知県警とコラボ！「情報セキュリティ無料セミナー」に登壇しました

2025年7月23日（水）、愛知県名古屋市にて、合同会社社長のミカタ様主催の「情報セキュリティ無料セミナー」に登壇いたしました。今回は愛知県警察とのコラボ企画ということもあり、普段なかなか聞くことのできない貴重な情報が満載のイベントとなりました。

会場には60名以上の方にご参加いただき、愛知県内のみならず、長野県・富山県・静岡県など他県から足を運んでくださった方も多く、関心の高さを実感しました。

【前半】愛知県警サイバー犯罪対策課による最新の事例紹介

セミナー前半では、愛知県警察本部サイバー犯罪対策課の担当官が登壇。
ネット詐欺の最新事例や、サイバー攻撃の手口が日々進化していること、そして警察の対応や取組みなど、普段はなかなか聞けない内容に参加者の皆さんも真剣に耳を傾けておられました。

【後半】私からは「すぐできるセキュリティ対策」をご紹介

後半は、私が代表理事を務める「一般社団法人 中小企業をサイバー攻撃から守る会」として登壇。
中小企業に特化した情報セキュリティの基本や、初歩的なリスクの見直し方、さらに“お金をかけずにできる”実践的な対策をご紹介しました。

【体験型コンテンツが大好評！】

特に盛り上がったのが、2つの体験型コーナーです。

• 「あなたのアドレス、漏洩していませんか？」
メールアドレスを使って、過去に情報漏洩したサービスがないかをその場でチェックできる体験は、参加者から「怖いけど勉強になった！」との声が多数。

• 「パスワードの強さを調べてみよう」
自身のパスワードがどれほど安全か、リアルタイムで確認できる体験には、驚きと学びが混在し、盛り上がりを見せました。

【ご参加ありがとうございました！】

終了後には「ぜひ地元でも開催してほしい！」というリクエストも多数いただき、地域を超えて情報セキュリティの重要性が浸透しつつあることを強く感じました。愛知県警察の担当官からも「とても有意義なセミナーだった」とのお言葉をいただき、大変光栄でした。

今後も、皆さまの大切なビジネスを守るための情報発信と支援活動を続けてまいります。

セミナーのご依頼などのご相談がありましたら、お気軽にお問い合わせください。

さて次回以降のスケジュールは下記の通りですので、ご期待ください！

8月19日（水）秋田県警察とのコラボセミナー
8月20日（木）警視庁とのコラボオンラインセミナー（クアドラ大学様主催）
9月19日（金）京都府警察とのコラボセミナー（クアドラ大学様主催）
10月9日（木）兵庫県警察とのコラボセミナー

“Scattered Spider”再び活動活発化――中小企業も狙われる理由とは？

2023年に米国の大手企業を次々と攻撃して注目を集めたハッカー集団「Scattered Spider（スキャッタード・スパイダー）」が、2024年以降再び活動を強めているという報告が複数のセキュリティ機関から出されています。

この集団は、フィッシング詐欺やソーシャルエンジニアリング（人を騙して情報を引き出す手法）に長けており、企業の社員になりすまして内部に侵入。特に「多要素認証（MFA）」の突破や無効化を試み、最終的にはランサムウェアを使って身代金を要求する、という手口をとっています。

なぜ大企業だけでなく中小企業も狙われるのか？

「うちは小さい会社だから大丈夫」と思っていませんか？ 実はこのScattered Spiderのような攻撃者は、大企業の取引先である中小企業のシステムを“踏み台”として狙うケースが増えているのです。

中小企業の中には、セキュリティ対策が不十分だったり、従業員がセキュリティ教育を受けていなかったりする場合もあります。そこを突かれて、攻撃の足がかりにされてしまうのです。

特に狙われやすいのは以下のようなポイントです：
• 同じパスワードを使い回している
• メール訓練をしていないため、偽メールに騙されやすい
• 社内ルールが整備されていないため、不審な操作が気づかれにくい

今できる対策は？

まずは「人の意識」を変えることが最大の防御策です。フィッシングメールやなりすましの見破り方を知っているかどうかで、被害の可能性は大きく変わります。

また、セキュリティ診断やUTM（統合脅威管理）機器の導入も非常に有効です。特にCheckPoint社のUTMは、こうした外部からの不正アクセスやマルウェアの侵入を遮断する強力な防御機能を備えています。

「最近メールが変だった」「社員から不審なアラートがあった」など、少しでも気になる兆候があれば、早めの対処が肝心です。

中小企業こそ、狙われやすく、かつ被害後の回復が困難です。まずはできるところから見直しを始めてみませんか？

不正メール訓練、情報セキュリティ研修、UTMの導入など、お気軽にご相談ください。

では今日もセキュアな一日を！

皆さんのメール受信箱に、一度は「なんか怪しいな…」と感じるメールが届いた経験はありませんか？

今回ご紹介するのは、弊社代表宛に届いた「PayPayカード」を装った不審メールの解析結果です。メールのヘッダー情報をもとに、スパムである可能性が非常に高い理由をわかりやすく解説します。

まず、ヘッダー情報とは、メールの「履歴書」のようなもので、「誰が、いつ、どこを通って、誰に送ったか」といった技術的な情報が記録されています。普段は目にしませんが、迷惑メールの判別やトラブルの原因調査には欠かせない情報です。

今回のメールでは、複数の「危険信号」が見つかりました。最初のポイントは、スパム判定の明確な証拠です。メールのヘッダーには「X-Spam-Score: 300」や「X-Spam-Status: spam:medium」と記載されており、スパム判定用のシステムがこのメールを明確に「危険」と判断しています。通常のメールではスパムスコアは5〜10程度なので、300という数値は異常と言えます。

また「X-Vade-Spamcause」という不可解な文字列も付与されており、これは専門的なスパム対策ツールによる自動分析結果で、スパムとして扱われた証拠です。

次に注目すべきは「spf=softfail」という記録です。SPF（Sender Policy Framework）は、メール送信元が正当かどうかをチェックする仕組みですが、このメールでは送信元ドメインと送信者のIPアドレスが一致しておらず、「正規のメールとは断定できない」と判定されていました。PayPayカードのような大手企業が、このような不正確な認証状態でメールを送ることはまずありません。

さらに、Return-Path（エラー時の返信先）に設定されていたアドレスが「ef@savew.net」で、PayPayカードとは無関係なドメインでした。これは偽装の典型的なパターンです。スパムメールはしばしば、こうした怪しいドメインを使って送信されます。

極めつけは、使用されていたメールクライアントが「Microsoft Outlook Express 6」という、もはやサポートも終了した非常に古いソフトだったことです。最新の金融機関がこのようなソフトを使っているとは考えにくく、スパム業者が古い環境を悪用して送信していることを示唆しています。

以上の点から、このメールは複数の角度から明確に「スパム」と判断できます。

皆さんも、似たようなメールを受け取った際は、本文の内容だけでなく、こうしたヘッダー情報を確認する習慣を持つことをおすすめします。特に、有名企業や金融機関を装ったメールには要注意です。リンクのクリックや添付ファイルの開封は絶対に避け、安全な通信環境を守る意識を持ちましょう。

次回は、こうしたヘッダー情報を誰でも簡単に確認・分析する方法をご紹介します。お楽しみに！