米国で学校を狙ったサイバー攻撃多発、学生個人情報流出が社会問題に

一般的に金銭目的のサイバー攻撃は、資金を持つ大手企業が標的となることがほとんどだが、最近その傾向に変化が起きている。

米国では学校を狙ったランサムウェア攻撃が頻発しており、1000カ所以上の学校から学生の個人情報を記載したエクセルデータが流出、ダークウェブにアップロードされるという事態になっているのだ。

その個人情報には、氏名、年齢、性別、社会保障番号、医療記録に加え、移民、ホームレス、経済的困窮家庭かどうか、また失読症の可能性の有無など非常にセンシティブな情報が含まれている。これらの情報のほとんどが依然としてダークウェブ上に存在しており、クレジットカード申請などに悪用されはじめているという。

サイバー攻撃で、授業の遅れ、個人情報流出など被害多数

米国では学校を標的としたサイバー攻撃で、どれほどの被害が出ているのか。

米NBCニュースが2021年9月10日、サイバーセキュリティ専門家の分析として報じたところでは、米国の義務教育過程(K12)の学校1200校以上の教員・学生の個人情報がダークウェブ上にアップロードされている。その多くはエクセルシートで、上記でも触れたように、学生の医療記録など非常にセンシティブな情報が含まれるもの。

コロナ禍、米国では義務教育過程の学校の多くがオンライン授業にシフト、これに伴いデジタルデータも増加した。一方ほとんどの学校では、サイバーセキュリティ予算が配分されることはなく、学校のデジタル環境はハッカーが侵入しやすい脆弱なものであった。

2020年12月、テキサス南部ウェスラコ・インデペンデント校区でランサムウェアを用いたサイバー攻撃が発生。ハッカーは校区の学校に対し身代金を要求したが、学校側はそれを拒否。すると、ハッカーは学校から盗んだエクセルデータをダークウェブにアップロード。このエクセルデータには、校区にある20校の学生ほぼ全員の個人情報が含まれていたという。

また2021年3月にはニューヨーク州バッファロー校区のネットワークにハッカーがマルウェアを感染させ、校区のコンピューターをすべて停止させる事件が発生。同校区ではすでにリモート学習に移行してたため、コンピューターの停止によってカリキュラムが1週間遅れたと報じられている

学校へのサイバー攻撃は、当局が無視できないほど深刻化。2021年3月16日にはFBIが緊急レポートを発表、学校に対するサイバー攻撃の深刻さを警告するまでに至っている。

個人情報流出後の懸念、子供の名義でクレカ・ローン申請など

学生の氏名、年齢、性別、社会保障番号など様々な個人情報を含むデータが依然ダークウェブ上に放置されている状況、多くの親はその影響について懸念を募らせている。

一部報道によると、学生の個人情報を悪用してクレジットカードを申請するなどの動きが出はじめているという。

米メディア13ABCは、オハイオ州トレド公立学校区のデータ流出後、その校区の小学生の名義を悪用したクレジットカード申請や自動車ローンの申請があったと伝えている。

ダークウェブ上にアップロードされてしまったデータを削除することは難しく、また削除できたとしても複製されていれば、簡単に再アップロードされてしまう。現在、学校や親ができる対策はクレジット監視サービスを利用し、流出したデータが悪用されないかをチェックすることのみ。流出阻止が如何に重要かを物語る事例といえるだろう。

米国ではこのほかにも重要インフラや政府機関に対するサイバー攻撃が増加しており、国家安全保障を脅かす事態に至っているとの認識が共有されはじめている。中国やロシアからのサイバー攻撃が多いといわれる中、バイデン大統領はプーチン大統領に対し、ロシア政府がサイバー攻撃組織を取り締まらないのなら、相応の措置を取ると警告したとも報じられている

米国土安全保障省では今年5月に、2カ月間でサイバーセキュリティ人材を200人雇用する取り組みを開始。同省は2021年7月1日、雇用促進期間中に当初の予想を上回る300人弱を雇用できたとして、この取り組みが成功したと発表している。同省は2000人のサイバーセキュリティ人材雇用を目指しており、今後も積極的に採用していく方針という。

日本も東京五輪開催中に4億5000万回のサイバー攻撃があったという衝撃のニュースが報じられたばかり。サイバー攻撃への認識向上、サイバーセキュリティ人材の育成・雇用が急がれるところだ。

文:細谷元(Livit