英国の学校における内部データ漏洩のうち、半数以上(57%)が生徒によるものであり、多くの子どもたちが「サイバー犯罪の人生」への道を歩み始めていると、情報コミッショナー事務局(ICO)の新しい報告書が明らかにしました。
規制当局は、2022年1月から2024年8月の間に教育分野で発生した内部攻撃による215件の個人データ漏洩報告を分析しました。
これらのインシデントのおよそ3分の1(30%)は、ログイン情報の盗難によって引き起こされました。こうした攻撃の97%は生徒によるもので、弱いパスワードを推測したり、紙に書かれたパスワードを見つけたりする手口が使われていました。
調査で取り上げられた一例では、15~16歳にあたる11年生の生徒3人が、不正に中等学校の情報管理システムへアクセスし、1,400人以上の生徒の個人情報が保管されていました。ハッカーたちはインターネットからダウンロードしたツールを使い、パスワードやセキュリティプロトコルを突破しました。
事情聴取の際、生徒たちは自分たちのサイバースキルや知識を試したかったと述べ、そのうち2人はオンラインのハッカーフォーラムに所属していることを認めました。
別のケースでは、生徒が不正に大学の情報管理システムへアクセスし、9,000人以上の職員、生徒、志願者の個人情報を閲覧、修正、削除しました。アクセスは職員のログイン情報を使って得られていました。
「子どもたちが自分の学校のコンピューターシステムにハッキングしており、それがサイバー犯罪の人生への道を開いてしまうかもしれません。これは私たちからの警告です。学校からの個人データ漏洩報告の背後に、懸念すべき傾向が見られるからです」と、ICOは9月11日に発表した調査で述べています。
この調査結果は、国家犯罪対策庁(NCA)が報告した、10歳から16歳の子どもの5人に1人がオンラインで違法行為に関与したという事実を受けてのものです。
2024年には、NCAのCyber Choicesプログラム(サイバースキルを合法的に活用することを促す取り組み)への最年少の紹介者は、7歳の子どもでした。
サイバーへの好奇心を正しい方向へ導く必要性
ICOは、保護者に対して、子どもたちのオンライン活動や選択について定期的に話し合うよう呼びかけました。
ICOの主任サイバー・スペシャリスト、ヘザー・トゥーミー氏は「次世代のオンライン世界への関心や動機を理解することが重要です。そうすることで、子どもたちが法を守り、常に専門家を必要とする分野でやりがいのあるキャリアへ進めるようにすることができます」とコメントしています。
元ホワイトハットハッカーでVeracodeのチーフ・セキュリティ・エバンジェリスト、クリス・ワイソパル氏は、ICOの調査結果について、サイバーセキュリティ分野における初級レベルの機会が限られていることが原因だと指摘しています。
「このような行動をとる生徒の多くは、悪質な犯罪者ではなく、安全な環境で限界を試している好奇心旺盛な若者です」と彼は述べました。
「パスワードやシステムを試すすべてのティーンエイジャーが、一生犯罪者と烙印を押されるべきではありません。むしろ、学校や業界全体が、この好奇心を正当なサイバーキャリアへ導くためにもっと努力すべきです。教室でのいたずらにつながる同じ好奇心が、適切な指導があれば、英国のサイバー人材にとって不可欠なスキルセットの基礎となり得るのです」とワイソパル氏は付け加えました。
職員のミスと不適切なデータ管理も蔓延
ICOの報告書によると、学校における内部漏洩の23%は、不適切なデータ保護慣行によるものでした。これには、職員が正当な理由なくデータへアクセス・使用したり、デバイスを無人で放置したり、生徒が職員用デバイスを使用できるようにしたりすることが含まれます。
インシデントの5分の1(20%)は、職員が個人デバイスにデータを送信したことが原因であり、17%はSharePointなどのシステムの設定ミスやアクセス権の誤設定によるものでした。
セキュリティやネットワーク制御を回避する高度な手法を使った内部関係者による漏洩は、内部漏洩全体の5%で確認されました。
翻訳元: https://www.infosecurity-magazine.com/news/ico-student-data-breaches-uk/