教育プラットフォームの開発・運営を行うEdv Future株式会社は2025年12月29日、12月4日に公表した同社提供の「Edv Path」への不正アクセスについて、調査結果を発表した。
同社では12月2日に、不正アクセス(ランサムウェア被害)に起因する事象を確認しており、外部セキュリティ専門機関の協力のもとフォレンジック調査およびシステム・運用体制の点検を継続的に実施していた。
同社では、外部セキュリティ専門機関による調査結果を踏まえ、データベース内の情報が第三者により窃取された可能性を完全には否定できない状況であると評価している。現時点で同社が把握している対象データのカテゴリは下記の通り。
・生徒に関する情報
氏名、学校ドメイン配下のメールアドレス、Edv Pathへの回答データ、利用履歴に関する一部ログ情報
・教職員に関する情報
氏名、学校ドメイン配下のメールアドレス、利用履歴に関する一部ログ情報
なお、12月19日のダークウェブ上の情報監視に関する初回調査では、当該事案との関連が認められる情報の公開・流通は確認されておらず、以降も監視を継続している。
同社では、外部セキュリティ専門機関の調査を踏まえて原因を特定した上で下記を実施している。
・原因となり得る構成経路の遮断・見直し
・アカウント管理および認証方式の見直しと多要素認証の徹底
・監視指標の見直しと、異常な通信・アクセスパターンに対するアラートの強化
・アプリケーションレベル、インフラレベルでの継続的なセキュリティ診断・モニタリングの実施
・一定の閾値に到達したアクセスを自動遮断
同社の今後の対応方針は下記の通り。
・ダークウェブ監視および外部機関との連携の継続
・追加で確認された事項がある場合の適切な情報提供
・セキュリティガバナンス体制の再構築と継続改善
・ISMSにおける特別監査の実施
同社 代表取締役社長 CEOの山崎泰正氏は「今般の不正アクセス事案により、学校関係者の皆さま、保護者の皆さま、そして日頃より当社サービスを信頼いただいている方々に多くの方々にご心配とご不安をおかけしておりますことを、心よりお詫び申し上げます。
」とコメントしている。
