.jpg?width=1280&auto=webp&quality=80&format=jpg&disable=upscale)
出典: Roman Milert / Alamy Stock Photo
今年の新学期の必需品は、教科書やリュックだけではありません。特にランサムウェア攻撃の増加を受けて、効果的なインシデント対応(IR)計画はK-12教育機関にとって必須となりつつあります。
教育分野は、攻撃者にとって人気の標的です。なぜなら、K-12学校はしばしば古いシステムを使い、非常に機密性が高く脆弱な生徒データを保有しているからです。攻撃者は、学校がITリソースやセキュリティ担当者が限られており、ランサムウェアやその他のインシデントによるダウンタイムに耐えられないことを知っており、そのため要求に屈して身代金を支払う可能性が高いのです。効果的なIR計画は、生徒や職員の安全、データプライバシーリスク、心配する保護者との継続的なコミュニケーションに対応しなければなりません。
復旧が早い学校は、苦戦する学校と比べて、通常3つのセキュリティ対策を実施しています。すなわち、攻撃時の確立された計画、IRリテイナー、包括的なサイバーセキュリティポリシーです。迅速な対応には事前の準備と、それを可能にするインフラの整備が必要だと、Contrast SecurityのCTO兼創業者であるJeff Williams氏は述べています。
懸念されるランサムウェアの傾向
いくつかの報告によると、COVID-19のロックダウン中に学校へのランサムウェア攻撃が増加し、その脅威はその後も続いています。
Semperis 2025 ランサムウェアリスクレポートによると、教育業界で働くITおよびセキュリティ専門家の61%が、過去12か月間にランサムウェアの標的になったと認めています。攻撃の49%が成功し、調査対象者の59%が身代金を支払いました。別の例として、2025年のCentre for Internet Security(CIS)MS-ISAC K-12サイバーセキュリティレポートは警告しています。K-12組織の82%がサイバーインシデントを経験しています。
このレポートは、2023年7月から2024年12月までの18か月間にわたる調査結果を詳述しています。しかし、CISが懸念しているのは攻撃や確認されたインシデントの数ではなく、「脅威アクターの高度化とタイミングの大幅な向上」でした。
自校が標的になることを前提に
K-12学校を悩ませるランサムウェアに関する報道は後を絶ちませんが、この分野が直面する最大の問題は「無知」かもしれないと、SentinelOneの営業担当副社長Jeremy Deckert氏は警告します。
「K-12機関にとって最大のリスクは、サイバーセキュリティの脅威を無視し、学校はサイバー犯罪者の標的にならないと考えることです」とDeckert氏は言います。「この考え方は組織を攻撃にさらすことになります。」
この考え方はK-12学校で一般的です。なぜなら、予算が限られているため、多くの学区が「うまくいくことを願う」戦略を採用しているからだとDeckert氏は付け加えます。同様に、テキサス・コンピューター・コーポラティブ教育サービスセンターの情報セキュリティ責任者Martha Gamez-Smith氏も、学校長や職員の間で「自分たちは安全だ」と信じていたり、実際にどれだけ安全なのか分かっていないという認識のズレが広がっていることに同意しています。
しかし実際には、K-12はAIを活用した脅威による巧妙なソーシャルエンジニアリング攻撃から、持続的な内部脅威、サードパーティやサプライチェーンリスクまで、多種多様なセキュリティ課題に直面しています。
学校は、生徒情報システムや学習管理プラットフォームのために、EdTechやその他のベンダーにますます依存しています。今年初め、生徒情報システムのPowerschoolは、12月の攻撃を受けて身代金を支払う決断をしたことを認めました。この開示により、脅威アクターが攻撃中に盗んだデータを使って「複数の学区の顧客」に直接連絡し、恐喝を試みていたことも明らかになりました。
直接的な恐喝の脅威
記録の盗難と個人への恐喝要求は、K-12学校が現在直面している最も重大な脅威の2つだと、元シアトルCISOで現Lumifi CyberのフィールドCISOであるMike Hamilton氏は述べています。IR計画は重要ですが、予防的なコントロールが不可欠です。なぜなら、学校への攻撃は非常に高い確率で発生するからだと彼は警告し、攻撃者にとってどれほど利益になるかを指摘しています。
ランサムウェアに加え、学校は記録の漏洩リスク、盗難、ビジネスメール詐欺、アプリケーション攻撃、情報窃取型攻撃、サービス拒否攻撃による恐喝、他者への攻撃の踏み台、あるいは単に学校をオフラインにするなど、さまざまな脅威に直面しています。
「それを完全に防ぐことはできません」とHamilton氏は言います。「できることはすべてやっても、結局やられてしまうでしょう。攻撃者は非常に巧妙になっており、学区が有能な専門家を雇用・維持するための資金を確保するのは不可能です。」
これは特に中小規模の学区に当てはまります。Gamez-Smith氏の顧客層もこれに該当します。そのような場合、学区長がバス運転手や用務員、教師も兼任していることもあります。スタッフは常に多忙なため、彼女がK-12にとって最も顕著な脅威だというフィッシング攻撃がしばしば成功します。それにより攻撃者が銀行情報などのアプリケーションにアクセスすることがあり、公立学校は資金が限られているため損失を被る余裕がありません。
「フィッシングは最も高度な攻撃ではありませんが、しつこいのです」とGamez-Smith氏は言います。「そのような状況で働いていると、フィッシングメールをクリックしやすくなり、2週間前にそれが起きたことに気づかないのです。」
パスワード管理の不備も攻撃の一因です。多くの教師がパスワードをデフォルトで保存し、二要素認証も導入されていません。攻撃者がデバイスを侵害すると、資格情報を入手し、パスワードを使ってアプリケーションに比較的簡単にアクセスできてしまいます。
「資格情報を盗み、しばらく様子を見てから、アプリケーションへのアクセスを拡大します」と彼女は言います。
攻撃者に悪用されるアプリケーションを守るため、K-12は異なるセキュリティアプローチを取る必要があるかもしれません。
監視、監視、監視
セキュリティプロトコルにはIRが含まれている必要がありますが、増大する脅威に対応するには監視が不可欠です。問題が起きることを前提に準備し、素早く検知して対処することが重要だとHamilton氏は勧めます。アカウントの侵害、ネットワークの侵害、他所で共有された資格情報など、すべて疑わしい活動に注意を払う必要があります。
「テーブルトップ演習を行い、『すべてを知っているIT担当者が休暇のとき、どうする?』などの難しい質問をしてください」とHamilton氏は言います。
学校への攻撃は、しばしば混乱を引き起こし、さらに深刻な場合は学校閉鎖に至ることもあります。その状態が数週間続くこともあります。IR計画の一部として、そのような場合に生徒をどのように誘導するかを明記すべきですが、それは困難です。「それを効果的に実施している例は聞いたことがありません」とHamilton氏は言います。
さらにできることは?
学校のリソース不足—小規模なITチームや限られた予算—を補うため、効果的なIR計画では無料ツール、コミュニティリソース、地元警察との連携を活用できるとDeckert氏は助言します。コミュニケーションも重要です。計画には、保護者にタイムリーな情報を提供しつつ、パニックを避け、同時に進行中の調査を守る方法を盛り込む必要があります。しかし、このバランスは難しい問題です。ランサムウェアやその他の脅威が蔓延しているにもかかわらず、攻撃の透明性は依然として議論の的となっています。
Deckert氏と同様に、Gamez-Smith氏もコミュニケーション計画が効果的なIR計画には不可欠だと考えています。メールが使えない場合の代替策はどうするのか?
「どの学区も、最終的に最も重要なのは、資金にも関わることですが、生徒への教育を継続し、彼らが出席していることを保証することだと言うでしょう」と彼女は言います。「ソフトウェアが使えなくても、少なくとも授業を再開しなければなりません。そのためには、代替コミュニケーション手段のバックアップ計画が必要です。」
さらに、ランサムウェアはしばしばデータ漏洩につながり、スタッフ、生徒、保護者に大きな負担をかけます。
「学校は膨大な量の機密性の高い生徒データを扱っており、これはFamily Educational Rights and Privacy Act(FERPA)などの規制で保護されています」とDeckert氏は言います。「IR計画には、このデータを保護し、漏洩時には関係者や当局に通知するための明確な手順を含める必要があります。」
一方で、IR計画は学校職員に誤った安心感を与える可能性があるとGamez-Smith氏は警告します。どれだけIR計画がよく作られていても—すべての適切なツールやアラートが含まれていても—実践しなければ機能しません。
「それに時間を割いて演習を行うよう説得するのは難しい」と彼女は言います。「実際に何が起こるのかを知るには、実際に起きるまで納得しにくいのです。」