検索
連載

学校にサイバー攻撃、成績よりも危ない流出データ

サイバー攻撃が標的にするのは民間企業だけではない。公的機関も危ない。学校が標的になったとき、何が起こるのだろうか。

PC用表示 関連情報
Share
Tweet
LINE
Hatena
Cybersecurity Dive

 2022年9月、ランサムウェア攻撃を受けて、ロサンゼルス市の学校のITシステムから機密データが大量に流出した。営利企業だけではなく、公的機関や病院、学校からの情報流出が目立つ。このような動きは国内でも相次いでいる。学校からの情報流出は企業とは異なる面があるという。それは何だろうか。

流出したときに悲惨な結果を生むのは成績の情報ではない

 今回盗まれ、流出した機密データの性質と範囲はいまだ調査中だ。だが、サイバー脅威の研究者がこれまでに観測したデータは、危惧すべきものだ。生徒や職員の個人情報、潜在的に有害な情報を含むファイルやフォルダが既に公開されている。

 Check Point Software Technologies(以下、Check Point)の研究者が2022年10月5日にCybersecurity Diveに語ったところによると、約25万件のファイルがダークWebに掲載され、中には社会保障番号や契約書、W-9書式の納税申告書、請求書、パスポート情報などが含まれていた。

 Los Angeles Times紙(注1)によると、ロサンゼルス統一学区(以下、学区)は、レイバーデイ(9月の第1月曜日)の週末(注2)に発生したランサムウェア攻撃で、およそ500GBのデータの盗難に遭った。

 学区のアルベルト・カルバーリョ教育長は、データ流出後の2022年10月3日の記者会見で、「われわれが見たところ、現時点では本当に重要な機密情報について、広範囲に影響が及んだという証拠はない。今回の流出は、当初予想していたよりも限定的なものだった」と述べた。

 今回の攻撃の背後にいる活発なランサムウェアグループVice Societyは、身代金の支払い期限(注3)よりも2日早くデータを公開していた(注4)。学区側はFBIとCISA(サイバーセキュリティ・インフラストラクチャセキュリティ庁)の助言に従い、攻撃側の要求に応じることを拒否していた。

情報流出は限定的だったのか

 学区側は懸念していたほどの被害をもたらさなかったと主張している。だが、Check Pointが観測して、Cybersecurity Diveが共有したデータのスクリーンショットによれば、そうではないようだ。

 流出したのは、「DACA」(若年移民に対する国外強制退去の延期措置)や「いじめっ子」「囚人」「暴力」などのタイトルが付いた地区のファイルフォルダであり、生徒や職員、請負業者など個人を特定できるものだった。つまり、非常に重要な情報が流出したかもしれない。

 カルヴァーリョ氏は記者会見で、生徒の心理評価が流出したとの報道に反論した。だが、「異常値」のケースがあることは認めた。

 Check Pointが確認したファイルは、「憎悪(ヘイト)に起因する事件」に関する詳細や事故調査、生徒や職員、訪問者が負傷した際に必要となる事故報告書などを含んでいた。

 さらに研究者は、ファイルの多くが最近のものだと指摘した。Check Pointが観察したファイルの中には、2022年に作成されたものもあったという。

 これは盗まれたファイルは古いものだという学区側の主張と一部矛盾している。カルヴァーリョ氏は記者会見で、出席データや情報、住所など、生徒の情報のほとんどは2013〜2016年のものだと述べている。

 学区のデータ盗難と流出は「大規模かつ広範囲に及ぶ」と、Check Pointの広報担当者エクラム・アーメッド氏は言う。

 「いったん盗難データがダークネットに流れると、あらゆるところにいる悪質なハッカーが最終的にアクセス可能になってしまう」(アーメッド氏)

 学区側は2022年10月10日週までに情報漏えいの調査を終える予定であり、影響を受けた個人に連絡して、信用調査サービスを提供するとしている。大規模な攻撃の後には一般に監視が必要だ。残念ながら漏えい後の監視は、潜在的な被害者が個人情報の盗難や機密データの流出から逃れる役には立たない。

© Industry Dive. All rights reserved.

ページトップに戻る