小学校や中学校が危ない、ランサムウェア攻撃の防御に失敗
小学校から高等学校に対するランサムウェア攻撃がとどまる所を知らない。米国での被害件数はほぼ横ばいだが、被害に遭った組織の数は倍増した。さらに自主的な被害報告は実際の被害よりも少ない。これは民間企業にも当てはまる。
エンドポイント保護を手掛けるEmsisoftによれば、政府機関や防衛当局が一丸となっても、米国内の学校を標的としたランサムウェア攻撃を大幅に抑えることはできなかった。
どの程度、学校に攻撃が集中しているのか
Emsisoftは2023年1月2日にランサムウェア攻撃に関する年末報告書を公開した(注1)。どのような数字だったのだろうか。
報告書によると、米国政府がサイバー攻撃を阻止するための努力を続けたのにもかかわらず、小学校から高等学校に対する2022年の攻撃件数は2021年とほぼ同数だった。2022年のインシデント数は2021年よりも1件多かった。
「残念ながら同じことの繰り返しだった」とEmsisoftは言う。
Emsisoftによると、2022年には米国で少なくとも44の大学と45の学区がランサムウェア攻撃の被害を受けた。
教育部門に影響を与えたランサムウェア攻撃の数は、恐らくこの数字よりもはるかに多い。全てのインシデントが、ダークウェブの攻撃者によって結果を公開されたり、犯行を主張されたりしているわけではないからだ。
これらの攻撃の影響を受けた可能性のある学校の数は、2022年に倍増している。2022年にランサムウェアの被害を受けたK-12の学校(日本でいう小学校、中学校、高等学校が含まれる)は1981校に上った。
ランサムウェアグループによる攻撃の成功率も高まっている。2021年に攻撃を受けた学校の半数からデータが流出した。この数字は2022年には約3分の2に高まった。
学校だけでなく、地方自治体や州政府もランサムウェアのレベルは横ばいだった。つまり十分には抑制できていない。
ロサンゼルスの学校は2022年に大打撃を受けた
最も注目されデータ流出があった事件は、レイバーデイ(2022年9月の第1月曜日の週)の週末に発生した(注2)。攻撃グループ「Vice Society」(注3)がロサンゼルス統一学校区のシステム(注4)に侵入し、約500GBのデータを盗み出した(注5)。
Check Point Software Technologiesの研究者が観測したデータによれば、Vice Societyは1カ月の間に盗み出したファイル約25万件をダークウェブに掲載した。その中には社会保障番号や契約書、W-9形式の納税申告書、請求書、パスポートなどが含まれているものもあった。
全米には約1万6800の学区がある。ロサンゼルスの学区に所属する生徒の数は56万人以上であり、ニューヨーク市に次ぐ全米第2位の規模だ。
ロサンゼルス統一学校区の関係者によると、この攻撃では身代金要求がなかった。だが、Emsisoftによると2022年に他の少なくとも3つの学区が身代金を支払った。
Emsisoftはランサムウェア攻撃を公にする可能性が高い政府機関と教育機関に焦点を当てている。同社は情報開示や報道、ダークウェブ、情報フィードからデータを収集したが、一部のインシデントを見逃したことは間違いないと警告している。
それに加えて、表に出てこないランサムウェア攻撃もある。
「民間企業へのランサムウェア攻撃で、自主的な公表や法執行機関への報告があったケースはごく少数だ。攻撃回数が横ばいなのか、増加傾向なのか、減少傾向なのか、はっきりしたことは誰にも分からないのが実情だ」と報告書は伝えている。
出典:Ransomware hit US schools at steady rate in 2022(Cybersecurity Dive)
注1:The State of Ransomware in the US: Report and Statistics 2022
注2:Los Angeles school district hit by ransomware attack(Cybersecurity Dive)
注3:Vice Society raises ransomware pressure on Los Angeles school district(Cybersecurity Dive)
注4:Ransom demand escalates fallout from Los Angeles schools cyberattack(Cybersecurity Dive)
注5:LA schools system downplays impact of leaked data(Cybersecurity Dive)
© Industry Dive. All rights reserved.
関連記事
身代金「以外が」怖いランサムウェア攻撃、長期的な悪影響とは
ランサムウェア攻撃の被害として最初に頭に浮かぶのは、身代金だ。Sophosによれば平均して約17万ドルだという。だが、身代金とは別に発生するコストもある。BlackFogによればコストの総額はその10倍にも及ぶ。Covewareの調査によれば、ランサムウェア攻撃を受けた企業の規模は11〜100人が4割を占める。つまり、10倍ものコストに耐えられない可能性がある。どうすればよいのだろうか。
学校にサイバー攻撃、成績よりも危ない流出データ
サイバー攻撃が標的にするのは民間企業だけではない。公的機関も危ない。学校が標的になったとき、何が起こるのだろうか。