被害事例とリサーチから見る教育機関を狙うサイバー攻撃の動向

事例から見る教育機関へのサイバー攻撃の現状

2023年4月28日、名古屋大学は不正アクセスにより個人情報が漏洩した可能性があることを発表しました。4月28日時点で公表されている内容は下記の通りです。なお、状況を確認した時点で即時アカウントロック及びパスワード変更を実施し、対処済みとのことです。

事案1：
2023年3月17日、所属する教員のメールアカウントから大量のメール送信を確認。調査の結果、前年に海外のIPアドレスから当該アカウントへの不審なアクセスを確認。当該メールサーバには講義の受講者311名の「氏名」、「学籍番号」、「該当科目の成績」が記載されたファイル(一部パスワードなし)が添付されたメールが存在していたことが判明。

事案2：
2023年3月15日、所属する教員のメールアカウントから大量のメール送信を確認。調査の結果、前年に海外のIPアドレスから当該アカウントへの不審なアクセスを確認。当該メールサーバには、大学関係者135名の「氏名」、「住所」、「電話番号」及びメールアドレスが記載されたメールが存在していたことが判明。

今回は教職員のメールアドレスへの不正アクセスによるセキュリティインシデントでしたが、日本における教育機関へのサイバー攻撃はどのような状況なのでしょうか。図1は、2018年～2022年の4年間において、セキュリティインシデントを公表した大学法人ののべ数の推移です。新型コロナウイルスの蔓延を理由に大学が休講となった2020年は減少したものの、2021年、2022年は2019年以前の水準まで戻っていることから、2023年も高止まりすることが予想されます。

図1：セキュリティインシデントを公表した日本の大学法人の数(のべ数。公表内容を基にトレンドマイクロが作成)

他の業界と比較するとどうでしょうか。トレンドマイクロの独自データによると、全世界における業種別の年間の不正プログラム（マルウェア）検出台数(2022年)は「政府」「製造」「ヘルスケア」に次いで「教育」は4番目に、日本の年間不正プログラム検出台数(同年)においては「製造」に次いで2番目に位置づけられています。あくまで当社のデータ基盤がもとではありますが、全世界・日本ともに4位以上に入るなど、サイバー攻撃の被害が出やすい傾向はあるようです。

表1：全世界/日本における業種別の年間不正プログラム検出台数（2022年）
(トレンドマイクロのクラウド型技術基盤「Trend Micro Smart Protection Network」より)

教育機関が被害を受けた際に使用された攻撃の種別はどういったものでしょうか？図1で言及した2022年に国内で公表されたセキュリティインシデントを当社で集計したところ、公表内容に含まれる攻撃の種別内訳は下記の表の通りでした。なお、攻撃種別に関する情報はあくまで公表情報から得られた範囲のものであり、実際に被害をもたらした攻撃の一手段であったり、別の攻撃手法も同時に発生していたりする可能性があります。2022年は特にEmotetが猛威を振るった結果、不正プログラム感染が最多の11件確認されました。また、今回の名古屋大学の事例のような不正ログインは4件程度確認されており、2番目に多い攻撃手口でした。件数は1件だけですがランサムウェアによる被害も確認されており、教育機関のような営利目的でない組織においてもこうした脅威が発生しうることには注意が必要です。

公表情報から確認された攻撃種別	件数
ランサムウェア	1
その他不正プログラム感染(EMOTETなど)	11
不正ログイン	4
フィッシング	1
公開サーバへの攻撃	2
内部犯行	1
その他	2

図2：日本の大学法人のサイバー被害公表情報から確認された攻撃種別(2022年)

なぜ学校法人などの教育機関が被害に遭っているのか？

それでは、なぜ大学法人などの教育機関が被害に遭っているのでしょうか。それは、業界の特性上「セキュリティ体制・対策における課題が多いから」という点に加えて、「守るべき重要な情報資産が多い」という理由もあると推察します。

課題の面から述べると、リモート環境への対策やセキュリティ人材不足という他の業界でも共通の面はありつつも、対策面では教職員や学生へのガバナンスの不足という面がやはり根強く残っているようです。一般的な企業であれば、組織共通のセキュリティポリシーの策定や対策、従業員向けの教育内容なども画一的に実施しやすいと考えられますが、大学をはじめとした教育機関では、教授など教職員の自由度が高く、またさまざまな人が出入りするため（外部でも教鞭をとっている教職員や他校の学生等）、組織的なセキュリティポリシーを周知・浸透させづらいという点があるでしょう。
加えて、理工系の学部などでは研究室の研究目的でIT機器やネットワークの敷設も考えられるでしょう。こうした場合、教育機関の情報セキュリティ担当部門からガイドライン等が出されている場合もありますが、研究室が独自にセキュリティ対策を講じるようになっていることもあり、組織全体でみると「アタックサーフェイス（攻撃対象領域）」の1つとなってしまう可能性も考えられます。

情報資産の点で言えば、教育機関は職員や学生の個人情報はもちろん、先端技術の研究成果などの機微な情報を保有しています。中には企業や官公庁といった官民との連携した研究や国の競争力に直結するような研究内容もあるでしょう。攻撃者にとって攻撃対象が保有する”資産”の価値が高ければ高いほど攻撃のモチベーションになります。日本への標的型攻撃^※1、特に「主体として国家が背景にあると推測される攻撃者グループが行っているサイバー攻撃」では、実際に教育機関などを含めた産官学幅広い分野が攻撃対象であることに加え、重要情報を保有するとみられる個人（有識者）にも攻撃が行われている事実を確認しています^※2。

※1「重要情報の窃取や破壊活動、情報操作などを目的として特定の法人組織や個人に対象を絞って継続的に行われるサイバー攻撃」のこと。
※2 参考記事：日本を狙う標的型攻撃に立ち向かうために、知っておくべき5つのこと

なお、当社のアンダーグラウンドマーケットの調査では、組織内ネットワークへのアクセス権を販売する「Access-as-a-Service」が横行しており、一般的な企業に加えて大学などへのアクセス権を販売しているケースも散見されます（画面1）。こうした状況もサイバー攻撃に拍車をかけていると推測されます。

画面１：日本の医学系大学のネットワークアクセス権の販売（999ドル）を謳う事例（2020年7月）

教育機関に求められるセキュリティ対策

ここまで教育機関におけるサイバー攻撃の動向について述べてきましたが、最後に教育機関におけるセキュリティ対策を簡単に解説します。推奨される対策は大きくは以下の3つです。

●研究系ネットワークなど機微な情報を取り扱うネットワークのセグメンテーションの徹底とセキュリティ強化
●教員、学生のリモート端末のセキュリティ対策
●教員、学生のセキュリティ教育

まず、大前提として一般的な企業などの組織にも求められる対策として、機微な情報を取り扱うネットワークのセグメンテーションおよびセキュリティ強化が求められます。そのためには、研究室が独自にIT機器やネットワークを敷設する際に、教育機関の情報部門に相談するよう体制を整えるなどが必要と言えるでしょう。また教育機関の組織としての情報資産の内容と所在地を把握・整理しておくことも重要と言えるでしょう。リソースも限られたサイバーセキュリティの対策を検討する上で「対策の優先順位付け」は非常に重要ですが、そのためには「教育機関として価値の高いもの」とは何かについて決めておく必要があるでしょう。

また技術的な面では、リモートアクセスを利用したBYOD(Bring Your Own Device)端末から正規のアカウントを窃取されVDIサーバ(仮想化デスクトップPC)経由で、組織内へ不正アクセスされてしまう可能性もあるため、リモート端末自体のセキュリティ対策も必要です。

また、ネットワークにアクセスする教員や学生に対するセキュリティ教育の徹底、セキュリティに関するリテラシー向上や外部講師などのステークホルダーに対してネットワーク接続時のルール順守を徹底させるなどガバナンスを効かせることも重要と言えるでしょう。