学校から盗まれた子どもの個人情報がダークウェブに流れているという指摘
マルウェアによってシステムへのアクセスを強制的に制限し、身代金を要求するというサイバー攻撃の「ランサムウェア攻撃」は、政府機関やIT企業のみならず、食品・医療・教育など人の生活に直結する組織にまで手を広げています。そんなランサムウェア攻撃の被害を教育機関に焦点を当て、海外メディアのNBCが解説しています。
Hackers are leaking children’s data — and there’s little parents can do
https://www.nbcnews.com/tech/security/hackers-are-leaking-childrens-data-s-little-parents-can-rcna1926
昨今、ランサムウェア攻撃が医療機関や石油パイプライン、食肉業者など、あらゆる機関・組織に対し行われており、その被害額は膨大なものになっています。アメリカ政府は医療機関に対し厳戒態勢を敷くよう要求し、ランサムウェア攻撃対応の優先度をテロと同等にまで引き上げると述べたとも伝えられています。さらにアメリカ政府は10億円規模の報奨金プログラムを実施して、徹底的にランサムウェア攻撃を食い止めようと試みています。
10億円規模の報奨金プログラムでアメリカ政府がランサムウェア被害拡大阻止を目指す - GIGAZINE
しかし、一度ランサムウェア攻撃を受けて流出した機密情報が戻ってくるわけではありません。NBCは教育機関に関するランサムウェア攻撃について、セキュリティ会社からの報告を基に「アメリカ国内の1200校分のデータが流出している」と指摘。被害者は何百万人にも及ぶとしています。
流出した個人情報は、子どもの健康状態や社会保障番号、家族の財政状況など極めて個人的なものも含まれていました。NBCはセキュリティ企業の発言を引用して「公立学校のシステムは多くの民間企業に比べてデータ保護のシステムが整っていない」と記しています。
専門家によると、学校は10年以上にもわたってランサムウェア攻撃などのハッキングの対象となっているとのこと。学校から盗まれた個人情報はまとめてハッカーに販売されていますが、学校側は「個人情報を盗まれたこと」に対して何をすべきかを具体的に定められていないため、ハッカーはやりたい放題というのが現状です。
個人情報流出により被害に遭った例も存在します。オハイオ州のある母親は、小学校から息子の名前と社会保障番号が流出したわずか2カ月後、何者かが息子の名前でカード会社と契約し、自動車のローンを組もうとしていたと語っています。
学校側もランサムウェア攻撃に対策を講じていますが、完璧に防ぐことは難しいというのが現状。テキサス州の学区で4万8000人に被害が及ぶとされたランサムウェア攻撃が行われた際、複数の学校がFBIのアドバイスに従い、緊急事態に備えて保管していたバックアップからシステムを復元しました。しかし、身代金支払いを突っぱねられたハッカーが盗んだデータをネットに公開し、半年たった今でも約1万6000人の生徒の個人情報がさらされ続けているとのこと。
NBCは「ハッカーはチャンスさえあればデータが何であろうと取得を試みる」と指摘。さらに「問題は、多くの学校が保存しているデータの内容を把握していない場合も多く、盗まれたデータを認識できていないことにある」と述べています。2020年にはアメリカ国内で約7300億円もの損害が教育機関にもたらされたという指摘もあり、学校側にさらなる警戒と対策が求められています。
2020年だけで7300億円分のランサムウェア被害が学校や教育機関にもたらされた - GIGAZINE
学校や学区は子供に関するデータを多く保存する傾向があり、大抵の場合、サイバーセキュリティの専門家やサービスに支払うお金がありません。NBCは「データを守るために親ができることはほとんどない」と述べ、口座の自動貸付けを停止するなど、リスクを最小限に抑える行動を取るべきだと記しています。
・関連記事
ランサムウェア攻撃を受けて身代金を支払った組織の8割が2度目の攻撃を受けている - GIGAZINE
謎の失踪を遂げたハッカー集団「REvil」のダークウェブサーバーが突然の復活 - GIGAZINE
ランサムウェア攻撃の関係者は単なる「加害者と被害者」にとどまらない、どんなプレイヤーがエコシステムを形成しているのか? - GIGAZINE
サイバー犯罪グループがランサムウェア攻撃を週末に実行する理由とは? - GIGAZINE
・関連コンテンツ