「魅力的な標的だ」:学校へのサイバーセキュリティ攻撃はますます頻繁かつ深刻化している
小中学校に対するサイバー攻撃の頻度と深刻さは増大しており、シアトル南部の学区を襲った新たな事件が最新の事例となっている。
これは、学校のサイバーセキュリティ問題に取り組む全国的な非営利団体、K12 Security Information eXchange(K12 SIX)の共同設立者兼全国ディレクター、ダグ・レビン氏の見解です。同団体は2016年4月から2022年11月の間に、米国の学区に対する少なくとも325件のランサムウェア攻撃を特定しましたが、状況は悪化の一途を辿っているとレビン氏は述べています。
ハイライン公立学校は日曜日、「学校の技術システムで不正な活動が検出され、重要なシステムを隔離するために直ちに措置を講じた」と発表した。
この侵入により、生徒数1万7500人の学区は月曜日の授業を中止せざるを得なくなりました。月曜日はほとんどの児童にとって4日目、ハイラインの幼稚園児にとっては初日でした。最新情報:学区は火曜日も授業、運動会、会議を中止すると発表しました。
学校とサイバー攻撃に関しては、「学校は魅力的な標的だ」とレビン氏は言う。
教育機関は多くのテクノロジーを活用していますが、強力なサイバーセキュリティ対策を講じるためのリソース、専門知識、権限が不足しています。同時に、教育機関は大量の貴重かつ機密性の高い情報を保有しており、その業務は必要不可欠であるため、閉鎖されると深刻な問題が生じます。
レビン氏によると、攻撃者は主に米国と同盟関係にない外国に拠点を置いている。犯罪者は、コンピュータシステムの制御権を奪い、教職員や学生の個人情報の公開や販売を阻止するために金銭を脅迫する。これらのデータはなりすましに利用される可能性があり、学生の個人的な精神的・身体的健康記録や学業成績などが含まれる。
「これは主に金銭が絡んでいる」とレビン氏は述べた。「そして2019年頃から、学校システムだけでなく、他の州政府や地方自治体の機関も、こうした犯罪グループによって組織的に標的にされ始めた」
レビン氏は、学校へのサイバー攻撃を仕掛ける主な侵入口を3つ挙げた。
- 学校のシステムにログインするための認証情報が侵害されており、再利用された名前とパスワードが含まれている可能性があり、アカウントにアクセスするために多要素認証を必要としません。
- 学校システムのユーザーを騙して資格情報を共有させるフィッシング メール。
- 古くてパッチが必要な、または全体的に安全でないオンライン システムまたはプログラムによる露出。
パロアルトネットワークスのサイバーセキュリティ顧問部門ユニット42の副社長兼グローバルオペレーション責任者、サム・ルービン氏は、パンデミックによって促進されたハイブリッドおよびリモート指導モデルへの最近の移行により、教育分野はサイバー攻撃に対して特に脆弱になっていると述べた。
「教育におけるテクノロジーへの依存により、攻撃対象領域が拡大しており、学校はオンライン学習プラットフォーム、生徒情報システム、その他のデジタルツールを利用しており、これらは悪用される危険性がある」とルービン氏は述べた。
ハイラインはインターネットへのアクセスを停止したが、学区のウェブサイトはそのままで、職員は電子メールにアクセスできると、学区の広報担当者トーブ・タッパー氏は述べた。
ハイラインの関係者は月曜日の午後、「技術システムにおける不正行為に関する調査は継続中で、重要なシステムは依然としてオフラインです。職員、家族、生徒の情報漏洩の証拠は確認されていません」と述べました。「状況が変わった場合は、影響を受ける方々にお知らせいたします。」
授業を中止するという決断は難しいとタッパー氏は語った。
「これは私たちの家族や生徒たちに非常に大きな影響を与えることを私たちは理解しています」と彼女は述べた。「しかし、学校の安全は私たちの最優先事項であり、これらのシステムの一部が整備されていない学校はあり得ません。」
学校運営は、教室での指導だけでなく、オンラインアクセスに大きく依存しています。ハイライン校の場合、バスの運行管理やルート管理、出席状況の追跡、緊急時の連絡など、様々な機能が含まれます。
レビン氏は、サイバー攻撃によって建物のセキュリティロックやカメラ、カフェテリアの支払い、生徒のスケジュール、放課後に生徒を迎えに行ける人の承認などが無効になる可能性もあると指摘した。
「我々は捜査とシステムの復旧に協力してもらうために、第三者や州、連邦のパートナーと協力している」とタッパー氏は述べた。
ワシントン州で最も注目されたサイバーセキュリティインシデントの一つとして、シアトル近郊のノースショア学区が2019年に深刻なランサムウェア攻撃を受けた。StateScoopによると、生徒数2万4000人のこの学区では、重要なデジタル業務の修復に約3週間、完全復旧には3か月以上を要した。
こうしたサイバー攻撃への長期的な解決策は困難で費用もかかります。一般的に、学校が法的に遵守を義務付けられるセキュリティ要件はなく、安全対策を強化するための資金も限られています。
「公立学校ではすでにIT、特にセキュリティ専門家の人員が大幅に不足している」とルービン氏は言う。
連邦通信委員会は今夏、これらの機関が自らをより良く保護するのに役立つサイバーセキュリティツールに関する情報を収集するために、3年間で2億ドルの学校および図書館向けサイバーセキュリティパイロットプログラムを発表しました。
2023年8月、米国国土安全保障省のサイバーセキュリティおよびインフラストラクチャセキュリティ局は 、学校におけるオンラインセキュリティとプライバシーを取り上げた「K-12デジタルインフラストラクチャ概要:防御力と回復力」というレポートを発表しました。
CISAによれば、平均すると、小中学校では授業日ごとに1回以上の攻撃が発生している。
レビン氏は、学校システムと関係のある職員と生徒に対し、個人情報の盗難を防ぐために信用調査を凍結することを推奨している。
「テクノロジー企業には、もっと積極的に行動を起こしてもらう必要があります。私たち個人も、もっと行動を起こす必要があります」と彼は述べた。「結局のところ、私たちはこれまで、自分たちが利用するテクノロジーをかなり信頼してきました。しかし、インターネットは必ずしも安全でフレンドリーな場所ではないことが分かりました。」
シアトル地域では昨年、シアトル港(シアトル・タコマ国際空港を含む)、市の図書館システム、フレッド・ハッチンソンがんセンターもサイバー攻撃の標的となり、さまざまな程度の混乱や被害が発生しました。
GeekWire編集者のTaylor Soper氏がこのレポートに貢献しました。
編集者注:このストーリーは、太平洋時間9月9日午後1時50分に新しい情報で更新されました。
