2026年2月、ヨーロッパ最大級の大学のひとつ、ローマの**Sapienza University of Rome**がサイバー攻撃を受け、学内ネットワークを“自ら遮断”する事態に追い込まれました。
公式サイトや学生向けポータルが数日間にわたり利用できなくなり、大学運営そのものがデジタル面で停止。報道ではランサムウェアの可能性が指摘され、身代金要求に「72時間のカウントダウン」が絡んだとも伝えられています。
これは単なる“大学のITトラブル”ではなく、研究・教育・行政が一体となった巨大組織が狙われる現代の構図を象徴する事件です。
目次
U最大級大学を襲ったサイバー攻撃:何が起きたのか
今回の事件が大きいのは、「攻撃された」だけではなく、大学側が被害拡大を防ぐためにネットワークを即時停止(遮断)する判断を取った点にあります。
イタリアの通信社報道によれば、大学は「IT基盤がサイバー攻撃の標的になった」と発表し、データの完全性と安全性を確保するためネットワークシステムを直ちにブロック、技術チームが被害範囲の分析と段階的復旧を進め、影響を受けていないバックアップに依拠して復旧する方針を示しました。ここから読み取れるのは、大学側が「侵入が進行中、もしくは拡大しうる」と判断した可能性が高いことです。
一方で外部報道(英語圏)では、大学のサイトや各種サービスが数日落ちたこと、そして「攻撃者が身代金要求に関連するリンクを送り、72時間のカウントダウンが絡む」という情報が出ています。特に“リンクをクリックするとカウントが始まる”という話は、交渉や心理的圧力を組み込んだ典型的なランサムウェア運用の匂いが濃い。
もっとも、現時点では大学や当局が「ランサムウェア」と断定した形跡は乏しく、報道ベースの推測として扱うのが安全です。
被害はどこまで広がったのか:止まったのは“授業”ではなく“大学運営”
大学のIT停止は、企業でいえば「基幹システム停止」に相当します。学生が利用するポータル(履修・成績・試験予約など)やメール、公式サイトが落ちると、授業の案内や手続きの流れが詰まり、学内外の連絡が途切れます。報道では、大学がシステムをオフラインにして復旧作業を進めたこと、復旧まで複数日を要したことが伝えられています。
ここで重要なのは、「暗号化されたか」「個人情報や研究データが持ち出されたか」という点ですが、これについては確定情報が限られます。
一般にランサムウェアは**暗号化(使えなくする)**だけでなく、**窃取(盗んで脅す)**の二段構えが増えています。もし後日、漏えいが確認されれば、EU圏ではGDPRの観点からも対応が一段と重くなり、学内だけでなく研究パートナーや委託先まで影響が波及します。
現段階では「止まった」ことが確実で、「盗まれた」かは続報待ち、という整理が妥当です。
犯人は誰か:名前が出ても“確定”とは限らない
攻撃主体については、セキュリティ報道で特定グループ名が挙がっています。
たとえば、セキュリティ系メディアでは「イタリア紙が“Femwar02”に言及した」といった形で伝えられています(ただし、大学側が公式に犯人を名指ししたわけではない)。
ここで注意点があります。ランサムウェア界隈は、なりすまし・便乗・虚偽の犯行声明が起きやすい世界です。確度が上がるのは、
(1)侵入経路やマルウェアの痕跡が技術的に一致
(2)被害組織や当局が認める、(3)複数の独立した調査報道が合致
というような条件が揃った時。現状は「状況証拠と報道がある段階」なので、記事内でも断定は避け、「犯人候補」「可能性」として扱うのが信頼を損ねません。
なぜ大学が狙われるのか
「大学が標的になる理由」は、根性論ではなく構造の問題です。
大学は企業より“開かれたネットワーク”を持ちがちです。学外からの共同研究アクセス、学生の多様な端末持ち込み、短期滞在者(留学生・研究員)の入れ替わり、外部委託の多さ。これらは教育・研究の利点そのものですが、攻撃者目線では“入口が多い”状態でもあります。さらに、大学は個人情報(学生・教職員)だけでなく、研究データ、知財、国際共同研究の文書など、金銭化・脅迫材料になりうる資産を広く抱えています。
この傾向は「この大学だけの不運」ではありません。欧州の脅威分析でも、ランサムウェアやサービス停止(可用性を狙う攻撃)が主要脅威として扱われています。EUのサイバー機関である**ENISA**の脅威ランドスケープでも、可用性への脅威が最上位級として示され、ランサムウェアが主要テーマとして扱われています。
また教育分野の統計として、教育セクターに対するランサムウェアが増えているという調査もあります(地域や定義で差はありますが、少なくとも“教育は狙われやすい”という方向性は複数ソースで整合します)。
「72時間カウントダウン」が意味するもの
報道に出てきた“72時間”は象徴的です。
ランサムウェアは「復旧コスト」と「停止による損失」を天秤にかけさせ、被害組織の意思決定を急かします。しかも「リンクを開くとカウントが始まる」といった設計は、被害側の調査・法執行機関への相談・学内意思決定を遅らせる(あるいは焦らせる)心理誘導になりやすい。
ただし、ここにも落とし穴があります。攻撃者が提示する期限は、必ずしも“本当に復号鍵やデータ破棄の約束”を保証しません。
むしろ近年は、支払い後も追加要求が発生したり、情報が別経路で流通したりするリスクが指摘されます。
だからこそ、大学がまずネットワークを止め、バックアップを前提に復旧を進める姿勢を示した点は、危機対応として一定の合理性があります。
復旧のカギは「バックアップ」ではなく「バックアップの隔離」
大学発表で注目すべきフレーズは、「影響を受けていないバックアップに依拠して復旧する」という点です。
ランサムウェアにおいて、バックアップが同じネットワーク上にあると、攻撃者に先に消されたり暗号化されたりします。生き残るのは、ネットワーク的に分離されたバックアップ、あるいは復旧手順まで含めて定期的に検証されたバックアップだけです。
今回の件が示す教訓は明快で、「バックアップはある」だけでは足りません。
“攻撃されても残る位置に置かれているか”、そして**“実際に戻せるか(復旧演習があるか)”**が勝負になります。
日本の大学・企業にも刺さる再発防止の論点
本件を日本の読者向けに落とすなら、ポイントは「止めない設計」と「止めた後に戻す設計」です。
具体的には、認証(ID)基盤の多要素認証の徹底、学外アクセス経路(VPN等)の監視強化、EDRやログ集中で初動を速くする。
加えて、学内ネットワークを一枚岩にせず、学生端末・研究ネットワーク・管理系を分け、侵入されても“燃え広がらない”構成にする。
これらは「高度な理想論」ではなく、ENISAが可用性・ランサムウェアを主要脅威として挙げ続ける現状では、優先順位の高い現実解です。
まとめ:大学は“次の社会インフラ標的”になった
今回のサイバー攻撃は、EUの名門大学が数日単位で止まるという、象徴的な事件でした。
確定しているのは、大学が攻撃を受け、データ保護のためネットワークを遮断し、バックアップを軸に復旧を進めたという事実。
一方で、ランサムウェア断定や犯人名は、現時点では報道・状況証拠の領域も残ります。
しかし、事件の意味ははっきりしています。大学は“研究と教育”だけの場所ではなく、巨大なID基盤とデータ資産を持つ社会的インフラであり、攻撃者にとって費用対効果の高い標的になっている――ということです。
だからこそ私たちは、事件を「海外の出来事」で終わらせず、可用性を守る設計、隔離されたバックアップ、そして初動を速める運用へと、現実的に移行していく必要があります。
参考情報(主要ソース)
-
事件概要・72時間カウント等:TechCrunch
-
大学声明(ネットワーク遮断・バックアップ復旧):
-
犯人候補報道(断定は避けて参照):BleepingComputer
-
欧州脅威トレンド:ENISA Threat Landscape 2024
-
教育分野の攻撃傾向:ThreatDown 、The Guardian