アメリカの教育現場におけるサイバーインシデントに関してお伝えしましたが、この問題に対してはK12 Security Information Exchange(K12 SIX)という組織が2020年に設立されてサイバー脅威の実態を可視化する取り組み等をしているようです。K12 SIXの報告書をもとにアメリカの教育現場のサイバーセキュリティにかかる実態についてもう少し見てみたいと思います。
2021年は162学区で166件、ズーム爆撃は減少?
K12 Security Information Exchange、略してK12 SIXは Global Resilience Federationを基盤として2020年に作られた非営利団体で、アメリカの学校に対するサイバー脅威に取り組んでいる組織です。K12とは幼稚園の年長から高等学校を卒業するまでの13年間の教育期間のことを言うようです。ちなみに K12 SIXの基盤となっているGlobal Resilience Federation(GRF)は、金融業界が業界横断的にサイバー情報を共有し取り組むために設立したFS-ISACから派生した団体で、さまざまな業種におけるサイバー情報の共有や業界横断的な取り組みを行っており、その一環として学校におけるサイバー脅威に対処する組織としてK12 SIXが2020年に作られたようです。話しはややそれますが、日本の金融業界もFS-ISACの日本版と言われる金融ISACを組織してFS-ISACとも連携して業界横断的にサイバー脅威に取り組んでいます。
アメリカの学校のサイバー脅威に取り組むK12 SIXが今年出した報告書によると、2021年に明らかになったアメリカの学校に対するサイバーインシデントは38州162学区に及び件数では166件だったということです。この数字は過去2年間と比べると減少していて、その理由について報告書は①新型コロナが落ち着いてオンラインで行われていた授業や会議が通常に戻り、その結果、ズーム爆撃と呼ばれるオンラインへの侵入事案が減ったこと②サイバー保険に加入することでサイバーセキュリティへの対応が進み、意識も高まったこと③公表されている事案は限定的である―という3つの要因をあげています。特に③に関してK12 SIXは、実際のインシデントは公表されている数の10~20倍に及ぶと指摘しています。アメリカはサイバーインシデントについて日本よりもはるかに公表されている印象を受けるのですが、教育現場においては秘匿されるケースも多いようです。
保護者を脅して学校に身代金支払いを迫る手口も
2021年にアメリカの学校で起きたサイバーインシデントの内容を見ると、ランサムウェアが62件ともっとも多くなっており、ランサムウェアが50件を超えるのは3年連続だということです。また、ランサムウェアがデータ侵害や改ざんなど他のインシデントを上回ってもっとも多くなったのは2021年が初めてだということです。ランサムウェア攻撃により授業ができなくなった学校もあったようです。身代金の支払いについては有無が明らかにされないケースも多いようですが、テキサス州のケースでは「個人を特定できる機密情報が公開されるのを防ぐ」ために約55万ドルが支払われたということです。一方で身代金を支払わなくてもデータ修復等に莫大な費用がかかる実態もあるようです。
また、学校が身代金の支払いを拒否しても、子供のデータを公開すると言って保護者を脅して学校に身代金の支払いを迫る手口も起きているようです。ランサムウェアにとどまらず、アメリカの教育現場を悩ませているのがデータ侵害やデータ漏えいのようです。さらにメールを悪用した詐欺や機密情報の窃取、オンライン会議やオンライン授業への侵入、サイト等の改ざん、DOS攻撃などのインシデントも起きているということです。
K12 SIXの報告書は「学校運営におけるテクノロジーへの依存度が高まっていることを考えると、サイバー インシデントは引き続き学校を悩ませる重大なリスクにさらされると予想されるあらゆる理由がある」と指摘し、情報共有や基本的なサイバーセキュリティを実装することの重要性を説き、デジタルサービスを提供するベンダーやサプライヤーにも対応を求めています。日本の教育現場でもサイバーインシデントはすでに起きていますので、アメリカの実情について決して看過することはできないと思います。
■出典