米国での調査レポート記事が出ていました。Cybersecurity Resource Centerのレポートでは、去年は少なくても全米で122のセキュリティインシデントが学校で発生した様です。
k12cybersecure.com
レポートの中に、インシデントの種類の表があったので引用してきますと、DDoS攻撃よりも、フィッシングやランサムが多く全体の25%を占めています。(結果として?)データ漏洩も46.7%、約半分がデータ漏洩までしてしまっている様です。
犯行動機については、4つのプロファイリング結果が挙げられていました。
・現在および以前のK-12スタッフによるデータの許可されていない開示。主に - ただし排他的ではない - 人的ミスによるもの。※設定ミス
・学区との関係でベンダー/パートナーが保有するK-12データの不正開示。※サプライチェーン
・K-12の生徒によるデータへの不正アクセス。好奇心からまたは学校の記録(成績、出席記録、または金融収支の残高を含む)を修正したいという欲求からのもの。※学生の好奇心
・未知の外部アクターによるデータへの不正アクセス。悪質な目的のために。※外部ハッカー
(レポートより引用 ※機械翻訳)
その他にレポートの内容の要点部分だけを抜き出すと、
①2018年には、生徒のデータがK-12のデータ漏洩/侵害の60%以上に含まれていました。
②2018年の間に、すべてのK-12デジタルデータ侵害の46パーセントが、現在および以前の学校職員に関するデータ(給与計算または他の人事記録など)を含んでいました。
③おそらく、2018年に最も懸念されているのは、学区の職員を標的とした多数のフィッシング攻撃の成功です。
④2018年のK-12サイバーインシデント全体の15パーセント以上を占めるランサムウェアやその他のマルウェアの発生への対応は、近年行われているもう1つの一般的な課題です。
⑤2018年に学区が経験したインシデントの約5%を占める、学校が管理するソーシャルメディアとWebサイトの改ざんは、特に子供を対象とした公共機関にとって厄介なサイバーインシデントの一種です。
(レポートより引用 ※機械翻訳)
◆キタきつねの所感
要点だけ抜いたので、何を言っているのか分かりにくいかも知れませんが、レポートをざっと読んだ感じでは、
①はサイバー攻撃によって窃取した学生のデータは、すぐにダークウェブで売られているという事を指している様です。
②は教職員の個人情報や、給与情報、納税申告書などが漏洩している(新たな標的型攻撃に使えそうなクレデンシャル)事を指している様です。
③はビジネスメール詐欺(BEC)が増えていて、2018年は大きな(金銭的)被害を受けた事を指している様です。日本はまだ米国の様に学校でのICT化が進んでない学校が多いと思いますが、恐らくICT化が進むと・・・同じ事が起きるのだと思います。
④はビジネスメール詐欺とあわせて、去年多くの学校が被害を受けたランサム攻撃を指しています。バックアップから復旧できずにハッカーにランサム(身代金)を払ったケースも多い様です。
⑤はインシデント比率は低いものの、学校のサイト(SNS)が改ざんされ、水飲み場攻撃に使われたケースをっ指している様で、危険内サイトに自動的にリダイレクトさせたり、学校の運営を妨害する様なメッセージが投稿されたりされたケースが多い様です。
学校セクターへの攻撃については、重要インフラ程に日本では警戒されてませんが、病院、公共施設などと同じく、公共性の高い施設が攻撃を受けるとサービスが停止してしまう事を恐れて、ランサム(身代金)を払う事例が多数出てきているので、特にフィッシングメール(と予算を持つ大学の経理部門へのビジネスメール詐欺)には警戒する必要があるのではないでしょうか。
foxsecurity.hatenablog.com
更新履歴
