2022年9月、ランサムウェア攻撃を受けて、ロサンゼルス市の学校のITシステムから機密データが大量に流出した。営利企業だけではなく、公的機関や病院、学校からの情報流出が目立つ。このような動きは国内でも相次いでいる。学校からの情報流出は企業とは異なる面があるという。それは何だろうか。
流出したときに悲惨な結果を生むのは成績の情報ではない
今回盗まれ、流出した機密データの性質と範囲はいまだ調査中だ。だが、サイバー脅威の研究者がこれまでに観測したデータは、危惧すべきものだ。生徒や職員の個人情報、潜在的に有害な情報を含むファイルやフォルダが既に公開されている。
Check Point Software Technologies(以下、Check Point)の研究者が2022年10月5日にCybersecurity Diveに語ったところによると、約25万件のファイルがダークWebに掲載され、中には社会保障番号や契約書、W-9書式の納税申告書、請求書、パスポート情報などが含まれていた。
Los Angeles Times紙(注1)によると、ロサンゼルス統一学区(以下、学区)は、レイバーデイ(9月の第1月曜日)の週末(注2)に発生したランサムウェア攻撃で、およそ500GBのデータの盗難に遭った。
学区のアルベルト・カルバーリョ教育長は、データ流出後の2022年10月3日の記者会見で、「われわれが見たところ、現時点では本当に重要な機密情報について、広範囲に影響が及んだという証拠はない。今回の流出は、当初予想していたよりも限定的なものだった」と述べた。
今回の攻撃の背後にいる活発なランサムウェアグループVice Societyは、身代金の支払い期限(注3)よりも2日早くデータを公開していた(注4)。学区側はFBIとCISA(サイバーセキュリティ・インフラストラクチャセキュリティ庁)の助言に従い、攻撃側の要求に応じることを拒否していた。
情報流出は限定的だったのか
学区側は懸念していたほどの被害をもたらさなかったと主張している。だが、Check Pointが観測して、Cybersecurity Diveが共有したデータのスクリーンショットによれば、そうではないようだ。
流出したのは、「DACA」(若年移民に対する国外強制退去の延期措置)や「いじめっ子」「囚人」「暴力」などのタイトルが付いた地区のファイルフォルダであり、生徒や職員、請負業者など個人を特定できるものだった。つまり、非常に重要な情報が流出したかもしれない。
カルヴァーリョ氏は記者会見で、生徒の心理評価が流出したとの報道に反論した。だが、「異常値」のケースがあることは認めた。
Check Pointが確認したファイルは、「憎悪(ヘイト)に起因する事件」に関する詳細や事故調査、生徒や職員、訪問者が負傷した際に必要となる事故報告書などを含んでいた。
さらに研究者は、ファイルの多くが最近のものだと指摘した。Check Pointが観察したファイルの中には、2022年に作成されたものもあったという。
これは盗まれたファイルは古いものだという学区側の主張と一部矛盾している。カルヴァーリョ氏は記者会見で、出席データや情報、住所など、生徒の情報のほとんどは2013〜2016年のものだと述べている。
学区のデータ盗難と流出は「大規模かつ広範囲に及ぶ」と、Check Pointの広報担当者エクラム・アーメッド氏は言う。
「いったん盗難データがダークネットに流れると、あらゆるところにいる悪質なハッカーが最終的にアクセス可能になってしまう」(アーメッド氏)
学区側は2022年10月10日週までに情報漏えいの調査を終える予定であり、影響を受けた個人に連絡して、信用調査サービスを提供するとしている。大規模な攻撃の後には一般に監視が必要だ。残念ながら漏えい後の監視は、潜在的な被害者が個人情報の盗難や機密データの流出から逃れる役には立たない。
出典:LA schools system downplays impact of leaked data(Cybersecurity Dive)
注1:No widespread, systemic release of confidential data in LAUSD cyberattack, Carvalho says
注2:https://www.cybersecuritydive.com/news/los-angeles-schools-ransomware/631243/(Cybersecurity Dive)
注3:Vice Society raises ransomware pressure on Los Angeles school district(Cybersecurity Dive)
注4:Los Angeles schools’ data leaked after ransomware attack(Cybersecurity Dive)
© Industry Dive. All rights reserved.
関連記事
- 身代金「以外が」怖いランサムウェア攻撃、長期的な悪影響とは
ランサムウェア攻撃の被害として最初に頭に浮かぶのは、身代金だ。Sophosによれば平均して約17万ドルだという。だが、身代金とは別に発生するコストもある。BlackFogによればコストの総額はその10倍にも及ぶ。Covewareの調査によれば、ランサムウェア攻撃を受けた企業の規模は11〜100人が4割を占める。つまり、10倍ものコストに耐えられない可能性がある。どうすればよいのだろうか。 - 誰でもランサムウェアを作れるヤバいファイルが漏れて大騒ぎ:684th Lap
ここ数年で最も流行したランサムウェアの関連ファイルが流出して大騒ぎになった。入手すれば誰もがランサムウェアを作成可能になるという。なぜそんなことが起きたのか。