サイバーセキュリティクラウド、教育機関へのサイバー攻撃が増加と報告

クラウド型WAF（Webサーバーを攻撃から保護する仕組みの一つ）などを開発するセキュリティメーカーの株式会社サイバーセキュリティクラウドは、サイバーセキュリティの増加について同社の調査結果を9月15日に公表した。

どの業種においても年々増加傾向にある中でも、直近では教育機関へのサイバー攻撃が急増。2023年1月1日から9月14日時点で19校、約163万件の個人情報が流出したと報告している。人的ミスによる個人情報流出だけでなく、ウイルス感染や不正アクセスによるサイバー攻撃も多発しているという。

調査結果では、教育機関での被害事例として、以下の例などを報告している。

・偽警告に応じて遠隔操作される

2023年9月10日に発覚した長野県の県立高校では、直近発生した別教育機関でのアプリによるサイバー攻撃被害事案について教員が認識していたにも関わらず、ウイルス感染の警告画面の表示や警告音が鳴ったことで、焦って正常な判断ができず、電話指示によってアプリをダウンロードし、遠隔操作されてしまったという。

・不正アクセスからの乗っ取りで個人情報が約151万通流出

2023年6月にメールサーバーが不正アクセスを受け、2名のメールアカウントが何者かに乗っ取られた。その後メールサーバー経由で約151万通のスパムメールが送信された。この教育機関では、2023年3月に教員が1,178名の個人情報を記録したUSBメモリを紛失したと報じられており、因果関係は不明だがUSBメモリから取得した情報による可能性もあると推察される。

・サイバー攻撃による学職員のメールアドレス3万6692件流出

2023年2月に教育機関にて運用している教育研究システムがサイバー攻撃を受け、サーバーに保管されていた学職員のメールアドレス3万6692件が外部流出した可能性があると明らかにした。メールアドレスのみの流出で個人情報については窃取されていないことは確認できたが、この内の48件についてはメールアドレスから氏名が類推されることを確認した。

・ランサムウェアによる乗っ取りで個人情報が7000件流出

2023年9月に教諭が業務用のパソコンでニュースサイトを閲覧していたところ、ウイルスに感染したことを示す警告画面と連絡先が表示された。教諭が電話をかけ、外国人とみられる男の指示で遠隔操作をするためのアプリをダウンロードしたところ、パソコンが相手に操作された。

◆事例から見る今後の対策と実施するべきこと

これらの事例を元に同社では、技術的対策としては、セキュリティ製品の導入や侵入を防ぐ取り組みが重要と指摘。また人的対策として、セキュリティに対してのルールを設定するとともに、教員に遵守してもらうように説明会などの教育も重要だとしている。