2020年だけで7300億円分のランサムウェア被害が学校や教育機関にもたらされた

ランサムウェアは世界中に深刻な被害をもたらしており、特にアメリカでは政府や大企業だけでなく食料生産者や医療機関など人々の生活に直結する企業や団体にも矛先が向き始めたため、アメリカ政府はランサムウェアの脅威度をテロと同等に引き上げて警戒を強めています。そんなアメリカの学校や大学を狙ったランサムウェア攻撃を分析したレポートにより、同国では2020年だけで66億2000万ドル(約7300億円)の損害が教育機関にもたらされたことが分かりました。

Ransomware attacks on US schools and colleges cost $6.62bn in 2020 - Comparitech
https://www.comparitech.com/blog/information-security/school-ransomware-attacks/

アメリカのサイバーセキュリティ会社・Comparitechが発表した、「2018年から2021年6月までに発生した学校や大学に対するランサムウェア攻撃」を示したマップが以下。赤い円がランサムウェア被害を受けた学区の位置を、円の大きさが被害を受けた教育機関の数を表しています。

特に、2020年にはアメリカ南部と西部の教育機関が大きな被害を受けました。以下は、「2020年に発生した学校や大学に対するランサムウェア攻撃」の件数を州ごとに色分けしたマップです。最も多くの被害が発生した州はアメリカ南部にあるテキサス州で、同州では全体の13％にあたる10件のランサムウェア攻撃が報告されました。次いで被害が多かったのがアメリカ西部にあるカリフォルニア州で、ランサムウェア攻撃の発生件数は9件でした。

Comparitechによると、2020年には1740校以上の学校や大学がランサムウェア攻撃の標的になったと推定されており、被害を受けた教育機関の数は2019年から39％も増加していたとのこと。また、ランサムウェアの被害を受けた学生の数は前年比67％増の135万8035人に及んだと見られています。

ランサムウェアの被害額は1万ドル(約110万円)から100万ドル(約1億1000万円)までさまざまで、こまめにバックアップをとっていたため被害が最小限に抑えられたケースもあれば、復旧まで数カ月を要した事件もありました。概して、ランサムウェアの攻撃を受けた学校のシステムがダウンしていた期間は平均7日間で、復旧に要した期間は平均55.4日間でした。

また、ランサムウェア攻撃を行ったハッカーが受け取った身代金の額は、最低でも190万9058ドル(約2億1000万円)で、教育機関が受けた直接的・間接的な被害額は総額66億2000万ドルに上ったと見積もられています。

Comparitechは、調査結果をまとめて「我々の調査により、2018年1月から2021年6月までの間だけで222件のランサムウェア攻撃が行われ、3880校の学校や大学と、そこで学ぶ304万人近くの学生が被害を受けたことが分かりました。ランサムウェア攻撃は、被害が発生してからそれが公になるまで時間がかかることが多いため、この数字は今後数カ月でさらに増える見通しです」と述べました。

なお、9月上旬のレイバー・デー(労働者の日)の祝祭日には例年多くのランサムウェア攻撃が報告されていることから、FBIとサイバーセキュリティ・インフラストラクチャセキュリティ庁は連名で勧告を発して、学校を含む公的機関や民間企業に対してサイバー攻撃に特に強く警戒するよう呼びかけています。