Last Updated on 2025-05-19 09:10 by admin
2025年5月12日、米国ニューヨーク州ロングアイランドの20以上の学区がサイバー攻撃を受け、10,000人以上の生徒の個人情報が漏洩したことが州の教育記録により明らかになった。
昨年(2024年)、ロングアイランドでは28件のサイバーインシデントが州に自己報告された。これらの攻撃により、グレートネック学区では6,000人以上、スミスタウン学区では1,000人、ブレントウッドとヒューレット・ウッドメア学区では合計約2,400人の生徒の個人記録が漏洩した。
インターネットセキュリティセンター(Center for Internet Security)のセキュリティ運営副社長ランディ・ローズ氏によると、学校は成績だけでなく個人情報や財務情報、支援が必要な生徒や放課後プログラム参加者に関するデータなど、豊富な情報を保有しているという。
ニューヨーク工科大学(New York Institute of Technology)のコンピュータサイエンス非常勤准教授マイケル・ニジッチ氏は、学区を適切に保護するために必要なサイバーセキュリティ対策は経済的に実現困難だと指摘している。
ニューズデイ(Newsday)の調査によるとされる情報では、侵害の約45%は技術的な欠陥ではなく人間の行動を悪用したもので、フィッシングメール、偽のログインページ、デジタル広告を装ったマルウェアが使用されたと報告されている。
サイバーインシデントの影響は、放課後プログラムの中断、給食サービスの遅延、州全体のテストの混乱、学校運営の停止など多岐にわたる。また、生徒のクレジットスコアに影響を与え、将来のローンやクレジットカードの申請に支障をきたす可能性もある。
ニューヨーク州は新しい予算で公教育に記録的な資金を投入し、ロングアイランドには追加で2億7,000万ドル(約405億円)が割り当てられたが、その使途は各学区の裁量に委ねられている。
【編集部解説】
今回のロングアイランドの学校区におけるサイバー攻撃事案は、教育機関が直面するサイバーセキュリティの脆弱性と、その影響の深刻さを浮き彫りにしています。検索結果から確認できる情報によると、実際に被害を受けた生徒数は10,000人以上で、グレートネック学区では6,000人以上、スミスタウン学区では約1,000人、ブレントウッドとヒューレット・ウッドメア学区では合計約2,400人の個人データが影響を受けたことが分かります。
特筆すべきは、これらの攻撃が単発的な事象ではなく、教育セクター全体で増加傾向にある点です。Zscalerの2024年ランサムウェアレポートによれば、教育機関はランサムウェア攻撃の標的として4番目に多い分野となっており、2023年4月から2024年4月の間に217件のランサムウェア攻撃が報告され、前年比で35%以上増加しています。
教育機関が標的とされる理由は複合的です。Center for Internet Securityのランディ・ローズ副社長が指摘するように、学校は成績だけでなく、個人情報、財務情報、特別支援を必要とする生徒や放課後プログラム参加者に関する機密データなど、豊富な情報を保有しています。
さらに注目すべき点は、これらの攻撃の約45%が技術的な脆弱性ではなく、人的要因に起因している点です。フィッシングメール、偽のログインページ、デジタル広告を装ったマルウェアなど、ソーシャルエンジニアリング手法が多用されています。これは、技術的な対策だけでなく、教職員や生徒に対するセキュリティ教育の重要性を示しています。
また、近年では学生情報管理システムなどの教育向けソフトウェアを提供する第三者ベンダーを通じた攻撃も報告されており、クラウドベースの教育システムの普及に伴い、新たな脅威が生まれています。
教育機関がサイバーセキュリティ対策に苦戦する背景には、限られた予算の問題があります。ニューヨーク工科大学のマイケル・ニジッチ准教授が指摘するように、適切な保護に必要なセキュリティ対策を維持することは経済的に困難です。
サイバー攻撃の影響は単なるデータ漏洩にとどまりません。放課後プログラムの中断、給食サービスの遅延、州全体のテストの混乱など、学校運営全体に支障をきたす可能性があります。さらに深刻なのは、影響を受けた生徒の将来への影響です。個人情報の漏洩はクレジットスコアに影響を与え、将来のローンやクレジットカードの申請に支障をきたす可能性があります。
このような状況に対応するため、ニューヨーク州は公教育に記録的な資金を投入し、ロングアイランドには追加で2億7,000万ドルが割り当てられました。しかし、各学区がこの資金をサイバーセキュリティ強化にどれだけ振り向けるかが課題となっています。
私たちinnovaTopiaの視点から見ると、この問題は単に技術的な課題ではなく、教育の未来と子どもたちのデジタルアイデンティティ保護に関わる重要な社会的課題だと考えています。教育のデジタル化が進む中で、セキュリティとプライバシーのバランスをどう取るか、限られた予算の中でどのように効果的な対策を講じるかは、日本を含む世界中の教育機関が直面している課題です。
今後は、AIを活用した脅威検知システムや、ブロックチェーン技術を用いた安全な学生記録管理など、新たな技術の導入も期待されます。同時に、教職員や生徒に対するセキュリティ教育の強化も不可欠でしょう。
デジタル時代の教育において、知識の提供と同時に、生徒のデータを守る責任も増大しています。この事例は、テクノロジーの進化がもたらす恩恵と同時に、新たなリスクにも目を向ける必要性を私たちに教えてくれています。
【用語解説】
ランサムウェア:
「ransom(身代金)」と「software(ソフトウェア)」を組み合わせた言葉で、感染したコンピュータのデータを暗号化して使用不能にし、復旧と引き換えに身代金を要求するマルウェアである。近年は単なるデータ暗号化だけでなく、データを盗み出して公開すると脅す「二重恐喝」の手法も増えている。
フィッシング:
実在する組織を装った偽のメールやSMSを送信し、偽のウェブサイトに誘導して個人情報やクレジットカード情報などを盗み取る手法である。「fishing(釣り)」になぞらえて、ユーザーを「釣り上げる」ことから名付けられた。
CIS(Center for Internet Security):
インターネットセキュリティの標準化に取り組む米国の非営利団体で、政府機関や企業、学術機関などが協力して2000年に設立された。サイバーセキュリティのベストプラクティスを「CIS Controls」としてまとめている。
PowerSchool:
北米で広く使用されているクラウドベースの学生情報管理システムで、成績管理や出席管理、保護者とのコミュニケーションなどの機能を提供している。教育機関向けのSaaS(Software as a Service)である。
【参考リンク】
Center for Internet Security (CIS)(外部)
米国のサイバーセキュリティ標準化団体で、セキュリティのベストプラクティスを提供している。
PowerSchool(外部)
北米最大の教育向けクラウドソフトウェア提供企業で、学生情報管理システムを提供している。
ニューヨーク工科大学(NYIT)(外部)
記事に登場するMichael Nizich准教授が所属する私立大学で、コンピュータサイエンスなどの分野で知られている。
内閣サイバーセキュリティセンター(NISC)(外部)
日本のサイバーセキュリティ政策の司令塔となる組織で、様々な啓発活動や情報提供を行っている。
【参考動画】
【編集部後記】
皆さんの学校や職場では、サイバーセキュリティ対策はどのように行われているでしょうか? 日常何気なく使っているパスワードの管理方法や、受信したメールの確認方法を見直してみると、新たな発見があるかもしれません。お子さんがいらっしゃる方は、デジタル時代を生きる子どもたちと一緒に、オンラインでの安全について話し合ってみてはいかがでしょうか。私たちの個人情報を守るのは、最終的には私たち自身の意識と行動なのかもしれませんね。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
