東北大学で不正アクセス、教員PC踏み台に治験NASまで侵入で個人情報漏えいの可能性

2026年5月22日

登場人物紹介

チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。

ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。

「東北大学で起きた不正アクセス、いったい何が漏れたんでしゅか？」
「教員のパソコンが踏み台って怖いでしゅよね……」

チップス

ボス、東北大学の不正アクセスが大きく報道されてましゅよ。治験の患者情報が漏れたかもって、想像以上に重い話でしゅよね……

ボス

そうだな。教員PCを起点にサーバ、そしてNASまで波及した。研究系・医療系のサプライチェーンが組織内で密結合している国立大学ならではの構図だ。事実関係から整理していこう。

東北大学および東北大学病院は2026年5月1日、サーバとNASへの不正アクセスを公表しました。
本記事では、判明している事実関係と、組織のセキュリティ担当者が学ぶべき教訓を整理していきます。

4月16日に不正アクセスを検知、5月1日に公表という対応スピード
教員PCを踏み台にサーバ、そして治験用NASへ侵入が拡大
臨床試験参加者の氏名・住所等が漏えいした可能性、医療業務への影響はなし

研究機関や病院を抱える組織にとっては、自組織のリスクと重ね合わせて読み解きたい事例です。
事件の時系列、漏えいの可能性のあるデータ、教訓となる対策ポイントの順に解説していきます。

オススメ案件

新着案件をもっと見る

事件の概要と時系列

東北大学の公式発表によれば、本件は教員PCの不正利用を起点とした、組織横断的な侵害事例です。

教員PCからNASまでの侵害経路

不正利用された教員のPCを足がかりに、大学が管理するサーバへのアクセスが行われ、その後の調査で大学病院の治験業務資料を保管していたNASにも不正アクセスがあったことが判明しました。
時系列は以下の通りです。

日付	主な動き
2026/4/16	サーバへの不正アクセスを検知
2026/4/23	個人情報漏えいの可能性が判明
2026/4/24	パスワードリセット・ネットワークセグメント切り離しを実施
2026/5/1	正式に公表、関係省庁へ報告

チップス

検知から2週間ちょっとで正式公表って、対応スピードはむしろ早いでしゅね。

ボス

そうだ。漏えい範囲の精査と関係機関への報告を並行で進めたうえでの公表は、危機対応として参考になる動き方だな。

原因と組織が学ぶべき教訓

本件で漏えいした可能性のある情報は、機微度が極めて高く、対策も単純ではありません。

漏えい可能性のあるデータと影響

NASに保存されていたのは、臨床試験に参加した患者の氏名や住所といった個人情報や、臨床試験の手順書などでした。
医療業務への直接的な影響は確認されていないものの、治験参加者にとっては大きな不安要素です。
本件のリスクは主に次の3点で整理できます。

治験参加者の氏名・住所等の個人情報が外部に渡った恐れ
研究プロトコルなど知的財産につながる情報の流出懸念
研究機関全体のブランド・信頼への影響

他組織がいま見直すべき設計

本件は、エンドポイント侵害が組織内ネットワーク経由でNASへと連鎖する典型的なシナリオを示しています。
大学・病院・研究機関の担当者の方が見直すべき項目は以下の通りです。

研究系PCの EDR 導入と多要素認証の徹底
機微情報を保管するNASのアクセス制御・暗号化・ログ監査
研究系ネットワークと事務系ネットワークのセグメント分離

チップス

研究室のPCって、自由度が高い分どうしても穴が出やすいでしゅよね……

ボス

そこを補うのが、研究端末のセグメント分離とNASへのアクセス制御だ。研究の自由とセキュリティの両立は、設計次第で十分に可能だぞ。

まとめ

東北大学の不正アクセス事案は、教員PC1台の侵害がNASへ波及し、治験参加者の機微情報を脅かすに至るという、研究機関の構造的リスクをはっきり示しました。
大学・病院・研究機関の担当者の方は、エンドポイント保護とネットワークの分離設計を改めて点検していきましょう。
詳細は東北大学の公式発表を参照してください。

セキュリティフリーランス案件を見る