教育関連ベンチャー企業「Edv Future」社が提供するサービス「Edv Path(エデュパス)」で、2025年12月2日未明に外部からの不正アクセスが発生した。
「Edv Path」は、主に学校教育現場で活用される非認知能力(コミュニケーション力や学習意欲などの数値化しにくい能力)を可視化・育成支援するツールで、多くの教育機関が導入している。
同社は12月4日に公式サイトでこの事態を公表。
調査の結果、ランサムウェアによる攻撃の痕跡を確認したいう。
不正アクセスの影響範囲は、同サービスのデータベース環境、関連システムに及んだとされており、データの一部が消去された可能性があるという。
現時点で、データベースに保存されていた氏名、性別、学校利用アカウント情報(メールアドレスやIDなど)、Edv Pathの回答データ、利用履歴に関するログ情報(接続日時など)が外部へ持ち出された可能性を否定できない状況とされている。
なお、いずれの情報も不正に利用された事実は確認されていないとのこと。
同社は事態発覚後、直ちに不正アクセスの経路を遮断。
認証方式を強化したほか、クラウド内部に専用ネットワークを構築するなどの技術的対応を実施したという。
また、外部専門機関によるセキュリティ診断を追加し、バックアップ体制を再点検・強化を進めている。
組織的には緊急対応チームを設置、ログ監視体制強化を進めており、警察署への通報と個人情報保護委員会への報告を行っている。
現在、システムは通常どおり利用可能な状態に復旧しており、監視体制を強化して安全確保を行っている。
また、利用者に対してEdv Pathや同社を装った不審なメールやメッセージに注意するよう呼びかけており、心当たりのないURLへのアクセスや添付ファイルの開封を避けるよう求めている。
調査の進捗については公式サイトで継続的に公開する方針を示している。
