公的機関向け 
ますます高度化するサイバー攻撃の脅威に連邦政府機関が
アメリカネバダ州のクラーク郡学区(米国で5番目に大きい学区)は、大規模なデータ漏洩の被害に遭いました。攻撃者は学区のメールサーバーに不正アクセスし、20万人以上の生徒の機密データが流出しました。現在、学区は保護者から集団訴訟を起こされており、機密情報の保護を怠り、サイバー攻撃を防ぐための措置を講じなかったと訴えられています。訴訟によると、流出した個人情報には、生徒や職員の記録、医療情報、社会保障番号、健康保険情報などが含まれています。
この集団訴訟では、サイバー攻撃を仕掛けたハッカーグループとしてSingularlyMDが特定されています。攻撃者は、生徒の生年月日をパスワードとして利用し、さらに杜撰なGoogle Workspaceのファイル共有の仕組みを悪用して膨大な機密データにアクセスしたと主張しています。特に、今回の漏えいはTikTokをきっかけに始まったとされています。ある生徒がTikTokのアカウントを作成する際に学区のメールアドレスを使用し、ユーザー名として生徒IDを設定していたことが原因とされており、同様の手口がコロラド州のJeffco Public Schoolsでも使われたと報告されています。
アメリカでは、学校を狙ったサイバー攻撃が深刻化しています。2023年2月には、ロサンゼルス統一学区(Los Angeles Unified School District)で約2,000件の生徒評価記録がダークウェブ上に流出し、運転免許証や社会保障番号が含まれていた可能性があると発表されました。同年3月には、ミネアポリス公立学区(Minneapolis Public Schools)から盗まれたデータが公開されています。最近のサイバーセキュリティの報告によると、2021年以降、アメリカの学校へのランサムウェア攻撃は800%増加しており、教育機関が最も標的にされやすい業界の一つとなっています。
アメリカのクラーク郡の情報漏洩や同様の漏えいから、多くの組織では何を学ぶことができるか、今回の事例と教訓をご紹介します。
教訓1 – シンプルな手口でもサイバー攻撃は成立してしまう
攻撃者は盗まれたパスワードや脆弱なパスワードを利用して不正アクセスを行うことが多くあります。
アメリカのクラーク郡学区のサイバー攻撃では、特に生徒の生年月日をパスワードとして使用していたことが悪用されました。学校のIT管理者は、すべてのユーザーに対して強力で複雑なパスワードの使用を義務付けるべきです。パスワードには、個人情報や辞書に載っている単語を含めないようにする必要があります。
また、ハッカーはマルウェアのインストール、フィッシング、ソーシャルエンジニアリング、ブルートフォース攻撃など、さまざまな手口を駆使してパスワードを取得します。このリスクを軽減するために、学校のIT管理者は、パスワードの使い回しを避けることや、不審なリンクや添付ファイルを開かないことの重要性をユーザーに教育する必要があります。
教訓2 – セキュリティ対策の負担を軽減する
多要素認証(MFA)の導入は、学校のネットワークに追加のセキュリティ層を提供する重要な手段です。MFAでは、サービスやアプリケーションにアクセスする際に、パスワードだけでなく、スマートフォンやハードウェアキーなどの「持っているもの」を使用することが求められます。
MFAは面倒に思われることもありますが、フィッシング、マルウェア、ソーシャルエンジニアリング、ブルートフォース攻撃による不正アクセスのリスクを大幅に低減します。ただし、導入の際はユーザー体験とのバランスを考慮することが重要です。例えば、強力なパスワードの使用を義務付けると、IT部門へのパスワードリセットの問い合わせが増える可能性があります。このような課題を解決する方法の一つとして、安全なパスワードマネージャーを導入することで、パスワードの管理を簡単にし、ヘルプデスクへの問い合わせを減らすことができます。
シングルサインオン(SSO)も、ユーザーの利便性を向上させる一般的な手法であり、一度のログインで複数のウェブサイトやクラウドアプリケーションにアクセスできるようになります。しかし、SSOは主に利便性を向上させるソリューションであり、セキュリティ対策としては不十分な場合があります。特に、最も機密性の高い「クラウンジュエル」となるシステムやデータベースにはSSOを適用すべきではなく、特権ユーザーのみにアクセスを制限し、特権アクセス管理(PAM)ソリューションを活用するべきです。
総合的なアイデンティティおよびアクセス管理戦略では、SSO、特権アクセス管理(PAM)、パスワードマネージャーを組み合わせた多層防御アプローチを採用することで、セキュリティを強化しつつ、ユーザーへの負担を最小限に抑えることが重要です。
教訓3 – 共有ルールを見直し、最小権限の原則を実践する必要性
クラーク郡学区のデータ漏洩は、情報共有ルールの確認と強化の必要性を示しています。PAMソリューションを導入することで、詳細なアクセス権の設定や役割ベースのアクセス制御(RBAC)を活用し、機密データへのアクセスを適切に管理できます。また、職員と生徒のネットワークを分離し、生徒は授業に必要なシステムのみにアクセスできるようにすることが重要です。
最小権限の原則(PoLP)を適用することで、ユーザーには業務遂行に必要な最小限のアクセス権のみを付与し、それ以上のアクセスを制限することができます。
また、ハッカーはGoogle Workspaceの不適切なデータ共有設定を悪用して機密ファイルにアクセスしたと主張しています。多くの学校がGoogle Workspaceを利用しているため、システム管理者は共有ルールや設定を慎重に見直し、不要なアクセス権を排除することが不可欠です。
さらに、サイバーセキュリティ教育は、生徒・保護者・職員を含めた全ての関係者にとって重要です。パスワードを暗号化されていない形式(テキストやメールなど)で共有しないことや、機密データの共有を制限することが求められます。教師や職員、生徒は、安全なパスワードの作成と管理、およびファイル共有のベストプラクティスについて定期的にトレーニングを受けるべきです。特に、ハッカーは学校が利用するアプリや、職員・生徒が開封するメールを通じてアクセスを試みるため、十分な注意が必要です。
教訓4 – 情報漏えいに対応するための計画を策定する
データ漏洩が発生した場合、迅速かつ適切なインシデント対応が不可欠です。学校は、すぐに生徒や職員にパスワードの変更を促し、アカウントの不審な活動を監視し、関係当局に速やかに報告する必要があります。迅速かつ組織的な対応とコミュニケーションは、サイバー攻撃の影響を大幅に軽減できます。
また、影響を受けた人々には、学校のデバイスやシステムと同じログイン情報を個人のデバイスでも使用している場合、それらのパスワードも直ちに変更するよう通知する必要があります。学校は、サイバーセキュリティインシデント対応チームを設置し、漏洩の全容を把握し、どの個人データが危険にさらされた可能性があるかを特定するべきです。その後、既存のセキュリティポリシーを見直し、追加の防御策を実施することが求められます。さらに、必要に応じて州および連邦の規制当局と連携することが重要です。
Keeper Securityガバメントクラウドでリスクを軽減
学校のサイバーセキュリティ対策を強化するには、多要素認証(MFA)の導入やパスワードマネージャーの活用など、適切な管理体制とセキュリティ対策を整えることが重要です。パスワードマネージャーを活用すれば、すべての従業員が強力でユニークなパスワードを作成し、安全な環境で管理できます。
Keeper Securityガバメントクラウド(KSGC)は、委任管理機能とロールベースのポリシー適用により、学校のネットワーク内のアイデンティティ管理とセキュリティリスクを可視化・制御します。KeeperのPAMソリューションは、学校が機密性の高いシステムやデータへのアクセスをシンプルかつ安全に管理できるよう設計されています。従来のPAMソリューションは、高額なコストや導入の難しさ、不要な機能の多さが課題となっていましたが、KeeperPAM®は必要な機能だけを備え、データ侵害を防ぐための最適なソリューションを提供します。
- コスト効率の良さ:最小限のIT担当者で運用可能なシンプルなプラットフォーム
- 迅速な導入:あらゆる技術・ID基盤とシームレスに統合し、数時間で展開可能
- 使いやすさ:統合管理コンソールと直感的なUIを採用し、あらゆるデバイスで簡単に操作可能(平均トレーニング時間は2時間未満)
クラーク郡学区のサイバー攻撃は、全米の学校で頻発する攻撃のほんの一例にすぎません。学校が強力なサイバーセキュリティ対策を講じることで、生徒・教職員・保護者が安心して利用できるデジタル環境を実現できます。
パスワードのセキュリティ強化、多要素認証の導入、共有ルールの見直し、適切なインシデント対応計画の策定などの対策を講じることで、教育現場を狙うサイバー脅威から身を守ることができます。
