サイバー攻撃者が日本の「弱点」に狙いを定めている。ここ3年の間に、東京大学や大阪大学などの国立大学でメールシステムへの不正侵入や研究データの流出といった事故が相次ぐ。企業に目を向ければ、大企業を真正面から攻略することを避け、取引先の中小企業を攻略してから大企業に侵入する「サプライチェーン攻撃」の脅威が増している。世界の攻撃者に弱点をさらし続ける実態に日本の関係者は対応できているのか。独自調査と取材から明らかにする。

国立大がサイバー攻撃にさらされている実態が日本経済新聞との共同調査で分かった。8割以上が攻撃を受け、うち約3割で情報漏洩や業務停止といった被害が発生した。「学問の自由」が一律のセキュリティ対策を難しくしている。

 国立大は1校当たりの国からの公的補助だけでなく、国や企業からの受託研究費も私立大学を上回る。その国立大の8割が過去3年間にサイバー攻撃を受け、うち3割で実被害が生じている。責任者や対策組織を置くものの、予算不足や人材不足に悩み、「学問の自由」の壁に対策が阻まれている――。

 日経コンピュータと日本経済新聞は2018年8月、国立大82校を対象に独自調査を実施した。48校から得た回答から、こんな実態が見えてきた。

 国立大を狙うサイバー攻撃の実態を把握するため、2015年4月~2018年7月に受けたサイバー攻撃を聞いたところ、「攻撃を受けた」と回答した国立大は有効回答38校のうち33校。割合は86.8%に上った。このうち実被害が発生したと回答したのは11校で、攻撃を認知した国立大の34.4%を占める。

3年強(2015年4月~2018年7月)でサイバー攻撃を受けたか
(n=38)
[画像のクリックで拡大表示]
情報漏洩や業務停止などの被害はあったか
(n=32)※
[画像のクリックで拡大表示]
図 国立大学82校のサイバー被害状況
国立大学の8割が攻撃され、うち3割で被害が発生

調査方法:日経コンピュータと日本経済新聞が共同で国立大学82校の広報部門に情報セキュリティ対策に関するアンケートをメールで送付し、セキュリティ対策を担当する部門への回答を依頼した。調査期間は2018年8月1~9日。48校から回答を得た。国立大学のうち、大学院大学4校は調査対象外とした

回答大学48校文部科学省のWebサイト掲載順):北海道大学、北海道教育大学、小樽商科大学、帯広畜産大学、北見工業大学、弘前大学、宮城教育大学、秋田大学、山形大学、福島大学、茨城大学、筑波大学、筑波技術大学、宇都宮大学、群馬大学、千葉大学、東京大学、東京外国語大学、東京工業大学、東京海洋大学、お茶の水女子大学、一橋大学、横浜国立大学、長岡技術科学大学、上越教育大学、富山大学、金沢大学、山梨大学、愛知教育大学、名古屋工業大学、滋賀大学、京都教育大学、大阪大学、大阪教育大学、兵庫教育大学、和歌山大学、島根大学、広島大学、山口大学、徳島大学、愛媛大学、高知大学、九州工業大学、熊本大学、大分大学、宮崎大学、鹿児島大学、鹿屋体育大学

 NRIセキュアテクノロジーズが日本企業107社を対象に2018年3月に調べたところ、サイバー攻撃の被害に遭った割合は60.7%だった。国立大の被害割合は少ないように見える。

 しかし「国立大は不正送金マルウエアの感染率が突出して高かった」という前述の調査を踏まえると、「攻撃を受けなかった」と回答した13.2%や「被害がなかった」とした65.6%の国立大にリスクが潜む可能性がある。文科省は「国立大の知名度と規模を考えればマルウエア感染程度はどこもあって当たり前」と話し、攻撃を受けた事実に気づいていない可能性を示唆する。

国立大で相次ぐ情報漏洩

 国立大が受けたサイバー攻撃の1位は「組織内サーバーへの不正アクセス」と「ランサムウエア以外のマルウエア感染」でそれぞれ48.6%。3位は「メールへの不正アクセス」が45.9%だった。

どのような攻撃を受けたか
4割超でメールやサーバーへの不正アクセス、マルウエア感染が発生(n=37※、複数回答)
[画像のクリックで拡大表示]

 各国立大が公表したセキュリティ事故と照合すると、大量の個人情報を持ち出される、研究資料のような機密データを盗まれるなど、これらの攻撃手法による被害が実際に生じている。

 例えば2015年に東大で発生した最大3万6300件の個人情報が流出した恐れがある事故は「マルウエア感染」と「メールへの不正アクセス」が組み合わさった。業務用PCがマルウエアに感染し、学内メールサーバーの管理画面に不正アクセスされた。

 2016年に富山大から研究資料が流出した事故も同様だ。攻撃者は非常勤職員のPCをマルウエアに感染させ、それを踏み台に学内サーバーに侵入。水素同位体科学研究センターで管理していた福島第一原子力発電所での汚水処理の研究成果などを持ち出した。

 2017年12月には阪大が個人情報漏洩事故を公表した。攻撃者はサーバーの脆弱性を突いて教育用計算機システムに不正アクセス。最大7万件弱の個人情報が流出した恐れがある。

 さらに2018年7月には基礎工学部のサイトを改ざんされ、閲覧者が別のページに誘導される事故も発生した。「学内サーバーの脆弱性対策は進んだが、同サイトは運営を外部委託しており、対策できていなかった」(阪大)。

 文科省は国立大の取り組みを毎年評価しており、最新版では東大や阪大など15校に「セキュリティ対策が不十分」との評価を下した。事故後の対策や再発防止策が不十分との指摘だ。

この先は有料会員の登録が必要です。「日経コンピュータ」定期購読者もログインしてお読みいただけます。今なら有料会員(月額プラン)が12月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら