千葉県南房総市の教育委員会は、7月に起きたランサムウェア攻撃についてLockBit3.0による攻撃で、暗号化されたデータの復元は困難との見解をこのほど表明しました。南房総市教育委員会が受けたランサムウェア攻撃とはどのようなものなのか、検証してみたいと思います。
校務システムサーバーのデータを暗号化
攻撃を受けたのは校務システムのネットワークサーバーです。校務システムとは、カリキュラムや通知表の作成、児童・生徒の管理等、先生が職員室で行っている校務をデジタル化するためのシステムです。学校をめぐるシステムとしては、校務システムとは別に児童・生徒が学習するための学習系のシステムがありますが、機微情報を扱う校務システムは学習系のシステムとは分けて構築されているということです。
公立学校における校務システムは、地域の教育委員会が導入し小中学校など地域の公立学校とネットワークを構築して運営されているのが一般的なようです。文部科学省によると、全国の公立学校への校務システムの導入は令和4年3月時点の速報値で79.9%ということですから、ほぼ8割の公立学校で校務システムが導入されて使われている実態があるようです。千葉県南房総市でも校務システムを導入し、教育委員会と市内の公立学校でネットワークを構築して運営していました。
攻撃が発覚したのは7月17日午前3時半ころ。委託している業者が校務システムのサーバーに接続できないことに気づき、業者と市で調べたところランサムウェア攻撃を受けてデータが暗号化されていることがわかったということです。サーバーには交渉のために連絡を求める英文メッセージが残されていたようです。このランサムウェア攻撃の影響で、中学校1校で通知表の配布が出来ないなどの影響が出たということです。市教委は交渉には応じず、暗号化されたデータの復元を試みましたが、このほど復元は困難との見解を表明し、あわせて攻撃者がLockBit3.0だったことを明らかにしました。バックアップサーバーのデータも暗号化されていたということです。
管理者アカウントが盗まれた?
市教委によると、ログに不審な痕跡はなく、データが明らかに窃取された痕跡もないということです。また、暗号化されたデータがダークウェブなどで公開されている事実も確認されていないということです。市教委は校務システムのサーバーに接続するSSL-VPの管理者アカウントを使って侵入されたとの見方をしており、管理者アカウントは窃取されたと見ています。
SSL-VPの管理者アカウントは市教委の特定の人と委託業者だけが知っているということです。侵入者がどのようにしてそのアカウントを知り得たのかについては不明だということです。市教委の担当者は「セキュリティ対策を万全にしていたが、管理者のIDとパスワードが盗まれてアクセスされた」と話しています。現在、南房総市の公立学校の校務システムは外部と遮断した閉域網で運用されており、市教委では「高度なセキュリティ対策を講じた後、外部接続を図りたい」と話しています。また、LockBit3.0とは接触しておらず、サーバー内のデータの復元は見込めないものの紙で保管されていたデータで対応しているようです。
教員のリモートワークに対応したシステム
文部科学省は、GIGAスクール構想のもと全国の公立学校のICT化を推進していて、来年度予算には校務システムの実証実験のための予算も計上されるようです。公立学校のICT化に伴うセキュリティについては、文科省の教育情報セキュリティポリシーに関するガイドラインにもとづき各教育委員会が策定をしています。文科省のガイドラインは当初、校務システムについては閉域網での運用を推奨していましたが、クラウド化やリモートワークの推進などを受けて改訂され、現在はネットワーク分離をしない認証によるアクセス制限によってセキュリティを確保する内容に改訂されているということです。
南房総市の校務システムへのランサムウェア攻撃は、今後の校務システムのセキュリティの在り方に影響を与えるものなのでしょうか?文科省では「(侵害を受けた)原因がまだはっきりしていない」としていて原因解明を見守っている状況です。
■出典
https://www.chibanippo.co.jp/news/national/958028
https://www.city.minamiboso.chiba.jp/0000017149.html
https://www.city.minamiboso.chiba.jp/0000017428.html
https://mainichi.jp/articles/20220827/k00/00m/040/195000c
https://www.mext.go.jp/kaigisiryo/content/20211223-mxt_shuukyo01-000019738_10.pdf