子供たちに最善の教育を提供したいというのは、多くの人にとっての願いである。しかし、狡猾かつ巧妙で執拗な敵の前では、よく練られた計画であっても無力な場合もある。今日では、学校や大学にとっての大きな脅威は、国家の支援を受けた攻撃者やサイバー犯罪者だ。マイクロソフト社の調査によると、2024年第二四半期において、教育業界は攻撃対象の第3位となっている。

ESET社の研究者は、高度なAPT（Advanced Persistent Threat）グループが世界中の教育機関を標的にしていることを明らかにした。2024年4月から9月の間、中国のAPTグループから攻撃を受けた業界のうち教育機関は第3位であった。同様に、北朝鮮からの攻撃では2位、イランおよびロシアからは6位という結果だった。

学校特有の情報システム環境は、サイバー犯罪者にとって攻撃しやすい標的となり得る。それでも、セキュリティに関する標準的なベストプラクティスは、サイバーリスクに対する効果的な防御手段となり得る。

攻撃者が学校・大学を標的にする理由

英国政府の調査によると、過去1年間において、71%の中学校（セカンダリースクール）と、ほぼすべて（97%）の大学が深刻なセキュリティ侵害または攻撃を経験していることが示されている。一方、企業のうち同じ期間に被害に遭ったのはわずか50％であった。また、米国のK12 Security Information Exchange（SIX）が発表した最新の調査によれば、2016年から2022年の間に、アメリカ国内の学校で平日1日あたり1件以上のサイバー攻撃のインシデントが報告されている。

教育機関がこれほどまでに標的とされるのは、なぜだろうか？

脆弱なネットワーク、膨大なユーザー数、収益化しやすいデータ、限られたセキュリティに関する知識や予算といった複合的な要因が関係していると考えられる。これらについて、以下で詳しく解説する。

限られた予算と知識不足

教育機関は、資金力のある民間企業と競争することは難しく、限られたサイバーセキュリティの人材しか確保できないのが実情だ。また、予算の制約から、セキュリティツールに充分な投資ができない。そのため、対策を講じるべき範囲に対して十分な能力を備えていない状況にある。しかし、こうした金銭的な制約から、サイバーリスクの軽減はますます重要になっている。実際、2018年以降に米国の学校や大学で発生したランサムウェア攻撃は、ダウンタイムだけで25億ドル（3,700億円相当）もの損失を被ったとする調査結果が公開されている。

個人所有のデバイス

マイクロソフト社によると、米国の学校ではBYODが浸透しており、大学生は私物のノートパソコンやモバイル機器を持ち込むのが一般的である。適切なセキュリティチェックを行わずに学校のネットワークへ接続できてしまう場合、これらのデバイスは意図せずして、機密性の高いデータやシステムへ攻撃者が侵入する経路を提供してしまう可能性がある。

誤りを犯すユーザー

セキュリティ担当者にとっては、ユーザー自体が最も大きなリスクの1つである。教育機関では、多数の職員や生徒がフィッシング攻撃の標的となっている。そのため、情報セキュリティに関する研修は不可欠だ。しかし、例えば英国の場合、学生に対してセキュリティ研修を必須としている大学はわずか5%に過ぎない。

オープンな文化

学校や大学はオープンな文化を持つ点で一般企業とは異なる。情報共有や外部研究者との協業の文化はセキュリティリスクを高め、攻撃者に悪用の機会を与えている。特にメールの送受信については、より厳格な管理が必要である。しかし、卒業生や資金提供者、慈善団体、納入業者など、多くのサプライヤーと連携する場合、セキュリティ管理は極めて困難となる。

広大なアタックサーフェス

教育機関におけるサプライチェーンは、拡大するアタックサーフェスの典型例だ。近年のオンライン学習やリモートワークの普及により、アタックサーフェスは一層広がっている。クラウド上のサーバー、個人用モバイル機器、ホームネットワーク、出入りの激しい職員や学生など、攻撃者が狙う対象は多岐にわたる。さらに、パッチが適用されていない、あるいはサポート切れとなった旧来のソフトウェアやハードウェアを使い続けている教育機関が多いのも問題である。

個人情報と知的財産

学校や大学では、健康情報や財務データを含め、職員や生徒に関する膨大なPII（個人を識別できる情報）が保存、管理、処理されている。これは、金銭目的のランサムウェア攻撃や詐欺行為にとって格好の標的である。加えて、複数の大学が関与する機密性の高い調査研究は、国家レベルの標的となり得る。このリスクに関して、2024年4月にはMI5（英国情報局保安部）の長官が英国の主要な大学に警告を発している。

現実に迫る脅威

可能性の話ではなく、教育機関への攻撃は既に現実の脅威となっている。2016年以来、K12 Security Information Exchange（SIX）によって、米国の学校を標的にしたサイバー攻撃として1,331件が公に発表されている。また、ENISA（欧州連合サイバーセキュリティ機関）は、2023年7月から2024年6月にかけて、教育業界を標的とした300件以上の事件を公開している。さらに、報告されていない事件も多い。大学は引き続きランサムウェア攻撃の標的となっており、時には甚大な被害をもたらしている。

教育機関を狙う攻撃者の手法

教育機関を標的とする攻撃の戦術、技術、手順（TTP）は、攻撃者の最終的な目的によって異なる。イラン政府の支援を受けるBallistic Bobcat（別名APT35、Mint Sandstorm）のようなAPTグループの攻撃では、高度な手法が用いられているケースがあった。例えば、EDRを含むセキュリティソフトを回避するために、攻撃者は無害なプロセスに不正なコードを挿入し、検出を避ける複数のモジュールを使用していたことをESET社は確認している。

英国の大学では、ソーシャルエンジニアリングやフィッシング、パッチ未適用の脆弱性を上回り、ランサムウェアが最多の脅威となっていた。また、米国国土安全保障省は次のように発表している。
「小中高の学区は、IT予算の制約や専門的なリソースの不足により、ランサムウェアの標的となっている。加えて、ある期間までにシステムを復旧させるよう、ランサムウェアの支払いに応じた学校もある。」

私用デバイスやレガシーシステム、膨大なユーザー数、開放されたネットワークといった要因によってアタックサーフェスは拡大し、攻撃が容易となっている。マイクロソフト社は、QRコードを悪用した攻撃の急増についても警告している。これは、メールやチラシ、駐車券、寄付の用紙、そのほかの連絡などに悪意のあるコードを挿入し、フィッシングやマルウェアを拡散する手法である。

学校や大学がサイバーリスクを軽減する方法とは

学校や大学には、攻撃者が標的に選ぶ理由がある。しかし、一般的に攻撃者が採用する手法は、よく知られたものだ。つまり、通常のセキュリティ対策が効果を発揮する。ユーザー、プロセス、ツールに着目しながら、以下のセキュリティ対策を講じてほしい。

• アカウントを保護するため、推測されにくく、より複雑なパスワードの設定と多要素認証（MFA）の有効化を必須とする
• 迅速なパッチ適用、頻繁なバックアップ、データ暗号化といったセキュリティ対策を実施する
• 情報漏えいの被害を軽減するよう、堅牢なインシデントレスポンスプランを策定し、検証する
• フィッシングメールの見極め方を含め、セキュリティにおけるベストプラクティスを職員、学生、管理者に周知する
• 私用デバイスに導入すべきセキュリティ対策を明確にし、詳細な利用規定とBYODポリシーを共有する
• 教育機関のエンドポイント、データ、知的財産を保護するため、信頼できるセキュリティベンダーと協業する
• 被害が発生する前に脅威を検出し、封じ込められるよう、常に疑わしい振る舞いを監視するMDR（Managed Detection and Response）の導入を検討する

世界中の教育機関が、人材不足や資金難など、多くの問題に直面している。しかし、サイバー脅威から目を背けても問題は解決しない。悪化する状況を放置すれば、セキュリティ侵害は膨大な経済的損害や風評被害を招き、特に大学にとっては致命的な事態に陥りかねない。結局、最高の教育を提供できる学校であっても、セキュリティ被害によって、その教育環境は損なわれてしまう。これは私たちすべてが関心を持つべき重要な問題なのだ。