多発する「ランサムウェア攻撃」や「サポート詐欺」

今年6月、出版大手のKADOKAWAがランサムウェアによる大規模なサーバー攻撃を受けたことが注目を集めた。ランサムウェアとは、不正にデータを暗号化し、復元する対価として身代金を要求する悪質なプログラムだ。

KADOKAWAはサービス停止に追い込まれ、学校法人角川ドワンゴ学園が運営するN中等部・N高等学校・S高等学校の在校生・卒業生・保護者・出願者・資料請求者の個人情報(氏名、生年月日、住所、電話番号、メールアドレス、学歴などの属性情報、入学年・担任・進学先などの学生情報など)が一部漏洩した。

昨今、こうしたランサムウェア被害が後を絶たない。デジタルアーツ開発部Internetデータラボ1課の上村和博氏は、2024年4月に公表した「過去3年分の国内セキュリティインシデント集計」(2021~2023年、公開報告書や報道資料を基に独自集計)の結果から、こう説明する。

「これまではEmotetと言われる、不正ファイルを添付したメール送信による悪質なウイルスのばらまきによって、感染が拡大するケースが多発していました。しかし、最近はメール起点ではなく、社内ネットワークと接続するVPN機器の脆弱性などから侵入したランサムウェア被害が増加しています。攻撃者は金銭目的で攻撃を仕掛けますが、ターゲットを定めずに脆弱な部分を突いて攻めることが多く、結果としてメンテナンスが不十分な教育機関が被害に遭う可能性はあります」

また、ウェブからの不正アクセスも多く、とくにウェブサイトの改ざんや広告を経由した「サポート詐欺」も増え続けている。サポート詐欺とは、ウイルスに感染したかのように見せかけ、警告表示や警告音などで不安を煽り、偽のサポート窓口に誘導して金銭をだまし取ろうとする詐欺だ。要因としては、改ざんされているウェブサイトやメールに記載されていたリンクを踏んでしまうことなどが挙げられるが、それだけではない。

「厄介なのは、ウェブサイトの広告にも紛れ込んでいること。大手の広告配信サービスの審査をすり抜けた広告表示である場合もあり、不正な広告だと見抜くことは難しく、学校でも被害が出ています」(上村氏)

重要な2要素認証、黒塗りやアンケート設定も要注意

学校で多いインシデントについて、同課の細谷計介氏は次のように説明する。

「2023年度に前年度から件数が最も増加したのは不正アクセスで、次に誤操作・設定不備、紛失・盗難の順となっています。不正アクセスについては、例えば、メールが侵入されてスパムメールを送信されたり、学校で管理しているサーバーが侵入されたりと、とくに大学での事案が多くなっています。誤操作・設定不備では、マスキング(黒塗り)の不備が目立っています」

紛失・盗難は、年々増加しており、企業に比べて学校のほうが多いという。

「また、企業の紛失・盗難は内部不正が目立つのですが、学校の場合は書類の紛失が最多。2023年度は児童個票や指導要録、就学旅行関連資料、健康診断書などの紛失が多く見られましたが、書類を紙で管理していることに起因していると考えられ、ここは学校特有の課題ではないかと思います」(細谷氏)

学校はこうしたインシデントに対して、どう防衛すればよいのだろうか。まず「不正アクセス」については、強固なアクセス制限が必要だという。

「学生がMicrosoft 365のアカウントを乗っ取られ、スパムメールを大量に送信されてしまった大学の事案では、学生がパスワードの使い回しをしていた、あるいはフィッシングに引っかかり、偽サイトでIDやパスワードを入力してしまった可能性が考えられます。不正アクセスを防ぐには、指紋や顔による生体認証などを含む2要素認証を採用するなど、IDとパスワードだけでは認証が成立しないような対策が必要でしょう」(細谷氏)

サポート詐欺は巧妙なため、誰もが偽の警告画面に出くわす恐れがあるが、個人で対処が可能だ。警告画面が出てきてしまった場合は、慌てずに画面を閉じること。「全画面表示になった際は、エスケープキーを長押しするか、『Ctrl』『Alt』『Del』キーを同時に押せばいいということを覚えておきましょう」と上村氏はアドバイスする。

「昨年、学校のサポート詐欺被害は4件見られたのですが、すべて日曜日に公用パソコンで発生しています。休日出勤、あるいは公用パソコンを持ち帰って作業している状況かと思いますが、疲れている中で誰も周りにいないこともあり、焦って被害に遭われてしまったのかなと。先生方の業務負担はできるだけ減らすべきだと思います」(上村氏)

「誤操作、設定不備」については、前述のように黒塗りの不備が多い。「目に見えない状態=データが消えたというわけではないので、確実にデータを消さなければいけない」と細谷氏は指摘する。

「よくあるのが、PDFでの黒塗りですが、PDFソフトの編集機能を使用すれば黒塗りした文字情報が判読できてしまいます。黒塗りしたとしても、その下にはデータがあるのです。専用ソフトで表示データを完全に削除する、あるいはWordやテキストデータならば、その情報を消してからPDF化するなどの対策が必要となります」(細谷氏)

また、最近ではアンケートなどでGoogle フォームを活用する学校は多いが、その結果が第三者にも閲覧できてしまうケースも増えている。これについて細谷氏は、「共有機能の設定に制限をかけていないミスによるもの。情報は共有されてしまっているという前提で、設定をチェックする必要があります」と助言する。

紛失・盗難やメールの誤送信、防御に有効なツールも

「紛失・盗難」については、今年4月にも、札幌市の中学校教諭が生徒の個人情報や配慮事項が記載された書類を体育館に置き忘れ、その書類を生徒がスマホで撮影してSNSに流出させてしまったと見られる事件が起きた。この手の書類紛失の対策はやはり、アナログからデジタル化への移行が有効だ。ただし、デジタル化したとしてもPC自体を紛失し、そこから情報漏洩してしまう可能性もある。

「その場合は、PCのハードディスクを暗号化する機能を使うことをお勧めします。例えばMicrosoftがWindowsに標準搭載しているBitLocker(ビットロッカー)。これを設定しておけば、ノートPCを外に持ち出して誰かに盗難された場合、ハードディスクを抜き出そうとしても暗号化されているため、情報漏洩を阻止できます。そのほか、ファイル自体を暗号化して閲覧権限を設定するようなサービスを取り入れている自治体もあります。一方で、職員室からの持ち出し禁止をルール化したり、教員の情報リテラシーを高めたりするなど、漏洩を防ぐ体制づくりも重要でしょう」(細谷氏)

「メール誤送信」も年々増えている。よくあるのはBccで一斉送信しなければならないところ、Ccで送信したことで、すべてのメールアドレスが漏れるといったケースだ。

「この対策としては人によるダブルチェックが勧められますが、作業が大変なうえ、完璧なチェックは難しい。CcからBccに自動で変換送信するソフトや、外部ドメインが複数ある場合は上長の承認がなければ送信できないようなソフトは複数の企業から出ていますので、そうしたツールを導入するのが安全かと思います」(細谷氏)

最近では送信者のスペルミスを狙った「ドッペルゲンガードメイン」への誤送信も多い。例えば、「gmail」を「gmeil」と誤入力した結果、犯罪者がつくったgmeil.comというドメインにメールが送信され、添付したデータが流出してしまうといったものだ。

「手入力での設定が誤送信につながっていると考えられますので、いつも送信している宛先と違う場合には保留したり、アラートが出たりするような仕組みをシステム側が構築しておく、あるいはそうした機能があるツールを導入して防ぐ方法もあります」(同課の家村省吾氏)

クラウド化の流れの中、企業と同等の対策が求められる

学校では教員も1人1台端末となり、校務や授業での活用がますます求められている。そのため、教員も日々、社会で起きているインシデント情報にアンテナを張ることが重要だが、インシデントは多種多様で、「これをやれば必ずセキュリティを守れる」といった対策はないと細谷氏は語る。

「また、多忙な学校の先生方に、厳重なセキュリティ対策を求めるのは現実的ではないでしょう。先生方がミスをしてしまうことを想定し、仕組みやシステムでカバーしていくことがベスト。私用端末の扱いも注意が必要です。例えば、教員が私用iPhoneに業務に関するデータを保存しており、そのデータがiCloud上に自動で同期されていて、アカウントが乗っ取られた際にデータが漏洩したケースがありました。一時期、SNSに宅配便を装ってIDパスワードを入力させる手口がありましたが、そこからiCloudに侵入されてしまったのです。こうしたこともあるため、ロケーションフリーの校務を推進するには、専用端末を配布してルールを整備するなど、データが漏れない仕組みをつくるべきです」

今年1月に改訂された「教育情報セキュリティポリシーに関するガイドライン」は次世代の校務DXを踏まえたものとなっており、文科省はクラウドサービスの利用を念頭においた学校ICT環境の整備を自治体に求めている。

しかし、2023年時点で学校教育独自の教育情報セキュリティポリシーを定めている割合は50%程度。教育委員会が自治体の情報セキュリティポリシーを準用している割合が35%、15%は準用もせず情報セキュリティポリシーを策定していない。文科省は、この状況を憂慮しており、教育DXに係るKPIの中で「クラウド対応の教育情報セキュリティポリシー策定済み自治体」を2025年に100%とすることを掲げている。

こうした背景もあり、教育現場の情報セキュリティ対策はますます重要になると、細谷氏は語る。

「今後、校務DXが推進される中、システムはオンプレミスからクラウドへ移行する流れとなり、インシデントの傾向もおそらく企業と似てくると思います。そのため、今企業が取り組んでいる対策が学校現場にも求められる可能性があり、自治体は情報セキュリティポリシーの策定と対策ツールの導入を、しっかりやらなければいけません。扱う情報の機密度の棚卸しをし、教員の働き方改革や授業でのICT活用を妨げないような対策を取る視点も重要になるでしょう」

・参考:デジタルアーツ「過去3年分の国内セキュリティインシデント集計」(2021~2023年)

(文:國貞文隆、注記のない写真:Luca/PIXTA)