(BlackBerry の英国・アイルランド・北欧担当バイスプレジデント Keiron Holyome による本記事「The Hacker Stole My Homework!」は、Education Today の 2023 年 10 月号に掲載されたものです。許可を得て抜粋しています。記事と関連コンテンツはこちらでご覧いただけます。)
ハッカーに宿題を盗まれた !
原文のブログはこちらからご覧いただけます。
「ハッカーに宿題を盗まれました !」などと言い訳をする生徒がいれば、これまでの世代の教師なら疑ってにらみつけていたでしょう。しかし、現代では決しておかしとっぴなことではありません。
英国の学校にとって、2022 年度から 2023 年度の間はサイバー犯罪者との戦いの年度でした。英国や米国の教育機関に対する多数のランサムウェア攻撃の背後にいると考えられている Vice Society は、身代金要求が断られた後、英国 14 校から児童の SEN (特別支援教育)情報、生徒のパスポートの写し、職員の給与明細、契約書をダークウェブに流出させました。これとは別に、多くの学校が試験期間である夏の間、ウィルトシャー州とドーセット州の学校では画面とシステムを操作できなくなり、ハッカーからアクセスの回復と引き換えの身代金を要求されました。教育への影響に加え、食堂の支払いから管理業務に至るまで、あらゆるものがアクセス不可能になりました。さらに、西スコットランド大学では、夏休みに入ってから、ランサムウェア攻撃によって IT システムが停止し、学生の申請にも影響が出て、機密データの返還に 45 万ポンドが要求されたと報道されています。
これらはほんの一例ですが、国家サイバーセキュリティセンター(NCSC)では、英国の学校の 4 分の 3 で実際にサイバーセキュリティの侵害があったと推測しています。NCSC の最近の報告書によると、英国の教育機関は、この 12 月カ月間でサイバーセキュリティの侵害や攻撃を確認した可能性が、英国の平均的な企業よりも高いということです。さらに、高等教育機関は小中高の学校よりも標的にされる可能性が高く、受ける被害も深刻です。
学校が保有している大切なデータとは
現代の学校で収集し保管しているデータは、膨大であり、どれも大切なデータです。生徒個人に関する情報、テストの点数、金銭取引、入学基準から、傷つきやすい子供の登録簿、登校拒否、子供の健康記録に至るまで、どれも公開されれば重大な被害を及ぼし、派生する影響は明らかです。
悪意のある攻撃者が利益を得るのは、IT 業務を復旧させるための身代金からだけではありません。個人識別情報や財務情報をダークウェブでオークションにかけたり、個人やその家族を脅迫してさらなる金銭を巻き上げたり、盗んだデータを公開すると脅したりすることもできます。
教育機関が攻撃される理由
残念ながら、学校は簡単なターゲットなのです。IT サポートは限定的で、予算も厳しく、多くが教育部門に提供されている標準的なソフトウェアを使用しています。そういったソフトウェアに脆弱性が見つかれば、それが犯罪者に知られて悪用されるまでに時間はかかりません。
同様に、ほとんどの学校の脅威環境は近年急速に拡大しており、リモート学習、保護者・教師間情報共有アプリ、モバイルデバイス、その他の多数のコネクテッドラーニング技術が導入されています。予算上の制約で生徒の個人デバイスの利用が推奨されていることから、セキュリティがおろそかになりがちなデバイスとの接続が増え、攻撃対象領域が劇的に拡大しています。
しかし、学校が簡単なターゲットである主な理由は、文化にあります。
金融や医療、小売りなど、人々やその個人情報を扱う業界は、プライバシーとデータ保護に関して厳しく規制されています。こういった業界は、競争優位性が得られるものとして技術的バックボーンに投資しており、個人情報を安全に保つ能力が評判に直結することを理解しています。
学校は必ずしもこのような厳格な対策の導入を望んでいるわけではありません。ウェブフィルターによって調査ができなくなったり、監視により創造性が損なわれたりすることは望んでいません。外部サービスをサポートし、またそれにサポートされる継続的教育のための統合環境を提供するために、部門間や施設間で自由にファイルを移動できるようにしたいのです。
また、一般的に従業員は企業のサイバーセキュリティのアキレス腱になっていますが、企業はトレーニングに多くの投資を行っています。同じことを、魅力的なフィッシングの誘惑に負けたり、不正なアプリをダウンロードしたりしがちな学生に強制することは、とりわけ困難です。生成 AI の登場により、スペルミスや稚拙な英語といった一般的な見分け方は、説得力のあるディープフェイク動画、完璧なメール、魅力的でパーソナライズされた申し出などにより通用しなくなっています。
データの価値は高く、壁は薄いため、ハッカーには攻撃を行うのに必要な動機がそろっています。そして過去の多くの事例では、学校が身代金を支払っています。
学校が攻撃から身を守るには
見えないふりをし、標的にされないことを期待したいところですが、「期待すること」は頼りにならない戦略です。しかし朗報があります。学校がすべてを自分で行う必要はないのです。人工知能(AI)の予測優位性を利用する自動化されたサイバーセキュリティソリューションならば、予算を無駄にしたり、内部情報の流動性を損なったりすることなく、十分なリソースがないという課題を克服しようとしている機関を、その規模に関係なくサポートすることができます。
例えば、コストを抑えるためには、マネージド型セキュリティサービスプロバイダ(MSSP)から、エンドポイント防御ソリューションの導入をサポートする、さまざまなレベル(と価格)の選択肢が用意されています。あるいは、24 時間 365 日の外部監視型 MDR (マネージド型検知/対処)サービスのサブスクリプションを使用すれば、手一杯になっている内部 IT 人材の能力とスキルを拡張することができます。教育機関は、MDR サービスでエンドポイントとネットワークのセキュリティシステムを強化することにより、少ないコストで企業レベルのソリューションと 24 時間対応のサイバー専門家を利用できるようになります。
期末試験のための復習のように、教育関係者が今、基礎を固め、データを適切に保護するために必要な措置を講じれば、わが国の学術コミュニティの未来は明るく可能性に満ちたものになるでしょう。そして、「犬に宿題を食べられた」という言い訳は、全国の学校で正当な地位を取り戻すでしょう。
同様の記事やニュースの配信を希望される場合は、BlackBerry ブログの購読をご検討ください。
関連記事
- Predictive AI in Cybersecurity: What Works and How to Understand It
- CylanceENDPOINT — Endpoint Protection Powered by Cylance AI
- Inside the FBI and DOJ Takedown of Qakbot, the “Swiss Army Knife” of Malware
- New Report Reveals Increase of Unique Malware and Sudden Surge of Public Sector Attacks
- Cybersecurity and the Future Workforce: What College Students Tell Us
- 製品のお問い合わせ:https://www.blackberry.com/ja/jp/forms/enterprise/contact-us
- 攻撃や感染した事故対応はこちらまで サイバーセキュリティチームによるコンサルティングサービス: https://www.blackberry.com/ja/jp/services/blackberry-cybersecurity-consulting/overview
- AIを使ったランサムウェア対策: https://www.blackberry.com/ja/jp/solutions/malware
- BlackBerry Japan:https://www.blackberry.com/ja/jp
- Facebook(日本語): https://www.facebook.com/watch/BlackBerryJPsec/
- Twitter(日本語): https://twitter.com/BlackBerryJPsec
- LinkedIn: https://www.linkedin.com/company/blackberry/
- YouTube(日本語): https://www.youtube.com/channel/UCT2VHYwfUVC4V0AnkVZ2QIg/videos
.png)
