新型コロナウイルス感染症のパンデミックへの対応による大規模な変化を特徴とする春学期の後、米国カリフォルニア州の一部の学校では状況が少し好転しつつありました。ニューホール学区の授業は、オンラインではあるが、2020 年秋学期に再開され、約 6,000 人の小学生が 10 の異なる学校で教師と積極的に取り組んだ。

学区は夏を利用して、4,500 台を超える生徒用デバイスと 1,000 個の無線ホットスポットの導入など、生徒が教師とつながり、学業を完了できるようにするための新しいテクノロジーを展開していました。

その後、災害が発生しました。あ9月に学区を襲い、サーバーとメールサービスが無効になり、すべてのオンライン学習に影響が出ました。地区当局は保護者に通知し、ランサムウェアがネットワークから削除されシステムが復旧するまで、全員が地区提供のデバイスを使用しないように要請しました。

「週末に学区がランサムウェア攻撃を受け、現在ネットワークが停止していることをお知らせするために連絡しています」と学区はインスタグラムアカウントへの投稿で述べた。 「今日は全生徒にとって非授業日となります。」

このプロセスには8日間かかった、とジェフ・ペルゼル警視はランサムウェアに関するIBMのパネルディスカッションで述べた。人々は「このプロセスで私たちが明らかに間違ったことがある」と思うかもしれませんが、「インフラストラクチャと、問題が発生した場合のクリーンアップ方法については多くのことを学ぶことができます。」

コロナウイルスのパンデミックの真っただ中で遠隔学習の可能性が続く中、これらの洞察は米国の学区にとって非常に貴重です。そして、パンデミックが終わった後でも、ランサムウェアが学区のネットワークを通過することを可能にするインフラストラクチャは依然として存在し、脅威の影響を受けやすくなります。

「学校に対するランサムウェア攻撃は、学生にとって新たな雪の日となった」と、IBM の CISO 部門セキュリティ イノベーション担当ディレクターのクリストファー スコット氏は次のように述べています。。 「外出禁止令と遠隔学習への切り替えにより、幼稚園児から大学教授に至るまで誰もがリモートテクノロジーを導入しており、簡単なターゲットを探すサイバー犯罪者の焦点が変わりました。また、予算が新しい学習方法に重点を置かれているため、多くの学校は、状況を変えて学校をターゲットにする犯罪者の経済的ROIを下げるための追加のリソースとテクノロジーを必要としています。」

2020 年、米国の 1,600 以上の学校がランサムウェアの標的になりました。これらの事件のほぼ 60% には幼稚園から高等学校までの学校が関係しており、FBI は学年度が始まった 2020 年の秋に学区への攻撃が増加したと指摘しています。

ある2020 年 12 月に発行された同局、米国サイバーセキュリティ・インフラストラクチャー・セキュリティ庁 (CISA)、および多州情報共有分析センター (MS-ISAC) は、サイバー攻撃者が幼稚園から高校までの教育機関を標的にしており、ランサムウェア攻撃、データの盗難、遠隔学習サービスの中断につながっていると評価しました。

「これらの攻撃では、悪意のあるサイバー攻撃者が学校のコンピューター システムを標的にし、アクセスが遅くなり、場合によっては遠隔学習などの基本的な機能にシステムにアクセスできなくなります。」と勧告には記載されています。 「ランサムウェア攻撃者は、これまで企業や業界に対して利用されてきた戦術を採用し、教育機関が身代金を支払わない限り学生の機密データを盗み、一般に漏洩すると脅迫しました。」

これは 2020 年 8 月に発生した事件で、犯罪者がネバダ州ラスベガスのクラーク郡学区に対してランサムウェア攻撃を開始しました。悪意のある攻撃者は、学生の個人情報 (成績、社会保障番号、その他の情報) を暗号化しただけでなく、データがオンラインで公開されるのを防ぐために支払いを要求しました。

「情報は以前にもハッキングされて盗まれており、学区が身代金の支払いを拒否したため、ハッカーが情報を公開した」と、.

教育機関がランサムウェア攻撃の格好の標的となっているのは、主に学校が貴重な種類の機密データを収集していること、伝統的にネットワーク セキュリティに対処するためのリソースが不足していること、そして 2020 年から 2021 年の学年度の大部分をリモートで運用していたことが主な理由です。

この勧告では、サイバー攻撃者が学校を、2020～2021学年度を通じて攻撃を受けやすい「機会の標的」とみなしている可能性が高いことを明らかにした。しかし、身代金の支払いはさらなる犯罪行為や被害を助長する可能性もある、とFBIサイバー部門の課長ハーバート・ステイプルトン氏はIBMのパネルディスカッションで述べた。

「ハッカーは何を得ようとしているのでしょうか？それは簡単な一言で答えます。お金です」とステイプルトン氏は語った。ランサムウェア攻撃を行う犯罪者は金銭的な動機があり、金を稼ぎ、より優れたランサムウェアの作成に投資できるよう、金銭を支払ってくれる可能性の高い被害者を探します。

教育者と管理者はプレッシャーを感じています。 IBM が主催する Morning Consult の調査では、教育者と管理者の 58% が、自分の教育機関に対するサイバー攻撃を防ぐ責任があると感じていると回答しました。 2020年10月の調査では教育者の78％が何らかのオンライン学習ツールを利用していたにもかかわらず、回答者の59％が「新しいサイバーセキュリティへの取り組みや遠隔学習のためのトレーニングを受けていないか、よくわからない」と回答したにもかかわらずだった。

さらに、調査対象となった教育者の半数以上が基本的なサイバーセキュリティトレーニングを受けていないと回答し、教育者と管理者の54％が予算が「教育機関のサイバーセキュリティ体制を強化する上で大または中程度の障壁」であると述べた。

このため、教育機関にとってランサムウェア攻撃の防止はさらに困難になる可能性があり、共同サイバーセキュリティ勧告によると、脅威アクターはランサムウェア攻撃を「機会の標的」とみなすようになっている。

「これらの問題は、リソースの制限に直面している幼稚園から高校までの学校にとって特に困難となるでしょう。したがって、教育指導者、情報技術担当者、セキュリティ担当者は、サイバーセキュリティへの投資を決定する際に、このリスクのバランスをとる必要があります。」

ステープルトン氏は、コロンバイン銃乱射事件後の1990年代と2000年代に学区が物理的なセキュリティを再評価したのと同じように、インフラストラクチャと学生を保護するためにサイバーセキュリティの体制を再評価する必要があると述べた。

「決定にインターネットへの接続が関係する場合、サイバーセキュリティをその中に組み込む必要がある」とステープルトン氏は述べ、同時に学区は直面する脅威について現実的になる必要があるとも付け加えた。 「攻撃を受ける可能性が最も高いのが、教師の自宅のエンドポイントを介したリモート接続またはフィッシングメールによるものであれば、高度なリスクからの保護について心配する必要はありません。」

地区がランサムウェア攻撃に見舞われた場合、影響を軽減しシステムを復元するために、コミュニティ パートナーに連絡する必要がある場合があります。 2020 年 6 月の最終週に学区がランサムウェアの攻撃を受けたことを当局が知ったとき、これは米国ルイジアナ州のケースであったと州 CISO のダスティン グローバー氏は述べました。

ルイジアナ州当局は事件の調査を開始し、州内の他の地区との連絡を開始しましたが、他の2人もランサムウェアの被害にあったことを知りました。その後すぐに別の事件が発生し、40 の異なる物理的建物にある合計 40,000 台のコンピューターに影響を与えました。

「回復するためのリソースが不足していました」とグローバー氏は説明しました。 「リソースを正しく使用し、復旧プロセスを標準化し、支援範囲を拡大していることを本当に確認する必要がありました。」

最終的にその目標を達成するには、修復プロセスを手伝ってくれるボランティアを地域社会に呼びかけることが必要でした。ルイジアナ州兵、州職員、IBM従業員などが救援要請に応じ、2020年の秋学期が始まるまでにルイジアナ学区のすべてのネットワークが稼働していた、とグローバー氏は述べた。

この事件は、ルイジアナ州がランサムウェア攻撃を防ぐ方法と、事件への対応の準備方法を再考するきっかけにもなりました。各学区は指導を受け、そのネットワークを評価するための評価プロセスを経ました。この分析により、他の 7 つの学区がマルウェアの影響を受けており、ランサムウェアの被害に遭う可能性があることが判明しました。

「私たちはそれを途中で止めることができました」とグローバー氏は言いました。

地区がランサムウェア攻撃を防止できるよう、共同サイバーセキュリティ勧告では、事業継続計画の維持や中断を最小限に抑えるための緊急時における重要な機能の実行の実践など、一連の推奨事項とベストプラクティスが提供されました。

「継続性の原則の計画、提供、実施がなければ、教育機関は教育と管理業務を継続できない可能性がある」と同報告書は述べている。 「継続性と能力を評価することは、潜在的な運用上のギャップを特定するのに役立ちます。これらのギャップを特定して対処することで、各機関は、サイバー攻撃やその他の緊急事態時に機能を維持するのに役立つ実行可能な継続性プログラムを確立できます。」

ランサムウェア攻撃に関しては、勧告では、定期的にデータをバックアップし、バックアップをエアギャップし、バックアップ コピーをパスワードで保護することが地区に推奨されています。また、学区は、機密データまたは専有データとサーバーの複数のコピーを物理的に離れた安全な場所に維持および保持する復旧計画を実施する必要があると勧告では述べています。

学区がこれらの措置を講じるための財源を提供するために、IBM は 300 万ドルの助成プログラムを開始しました。学区は、6 つの 50 万ドルの助成金のうち 1 つと、IBM のサービス部隊チームによる労働時間を受け取り、学区のサイバーセキュリティ体制を改善するための措置を講じるために助成金プログラムに申請することができます。現在セキュリティ管理者この記事を書いている時点では、補助金の受取人はまだ選ばれていません。