出典: Marcelo Mayo via Alamy Stock Photo
K-12(幼稚園から高校まで)の教育機関は、特にランサムウェア集団による攻撃の猛威にさらされています。しかし、内部脅威も同様に多く、その多くは学生から発生しています。
今日のK-12の学生たちは、幼い頃からテクノロジーに親しんできました。動画を見たり、ゲームをしたり、SNSをスクロールしたり、友人とコミュニケーションを取ったり、コンテンツを作成したりする方法を知っています。そして、ハッキングの方法も知っています。彼らはそのスキルを使い、学校のセキュリティプロトコルを回避しています。
ほとんどの行為は比較的無害であり、例えば成績の変更や学校記録の閲覧、単に自分のハッキング能力を試すといったものですが、内部脅威は教育分野にリスクをもたらします。最大の懸念は、資金や人員が不足し、専任のセキュリティチームがほとんどいない、または全くいない学校にさらなる負担をかけることです。
内部脅威は、学校がサイバーセキュリティ対策として備えるべきリスクの一つだと、Lumifi CyberのフィールドCISOであるマイク・ハミルトン氏は推奨しています。学生たちは好奇心旺盛で、ネットワークを侵害するのが得意だと彼は言います。
しかし、外部からの脅威にも対処する必要があり、問題はさらに複雑になります。
過去5年間で、ランサムウェア集団Vice SocietyやFogなどが教育分野を集中的に標的にしてきました。これらの攻撃は長期的な混乱、学校の閉鎖、重大なデータ漏洩を引き起こします。
「大きなミスマッチがあり、パートタイムのセキュリティ担当者が最も心配しなければならないのは、こうした高度なランサムウェア集団です。しかし実際には、最も心配すべきは学生たちが何をするかです」と、Malwarebytesのサイバーエバンジェリスト、マーク・ストックリー氏は明かします。
学校区はIT全般で予算不足ですが、特にサイバーセキュリティについては深刻だと、Arctic WolfのCISOであるアダム・マレ氏は言います。多くの学校は、セキュリティ体制を整えるだけで精一杯です。
通常、学校のネットワークはかなり厳重に管理されており、ユーザーがアクセスできるサイトやドメインは厳しく制限されていますし、IT部門は学校のWiFiネットワークを通じて多くの脅威をブロックできます。しかし、子どもたちは賢く、コントロールを回避する方法を見つけます。マレ氏が読んだ報告によると、学校区内で意図的に発生したデータ漏洩の大半は、学生が成績を変更したり記録を閲覧したりするために行ったハッキングだそうです。
「これは内部脅威の範疇だと思います」と彼は言います。「絶対に懸念すべきことであり、学校区が予算不足である限り、今後も懸念は続きます。」
リスクはあるが悪意はない
学校には学生を守る義務がありますが、しばしば自分たち自身から守る必要があるとストックリー氏は言います。インターネットにアクセスできるとはいえ、学生はTikTokにアクセスするなど自分たちがやりたいことができないため、ネットワークを回避してセキュリティを突破しようとし、時には成功します。
ストックリー氏によれば、子どもであるがゆえに軽い悪戯(バンダリズム)が発生することもあります。現代の軽い悪戯とは、システムに侵入できるか試してみたり、そのマシンにウイルスやクリプトマイナーを仕込んだりすることだと彼は分類しています。成績を変更する学生の話もありますが、それは時折発生する脅威に過ぎないと彼は言います。
これらは悪意のある内部脅威ではありませんが、学生がハッキングを行うとITの時間や注意が奪われます。対応にはITスタッフが脆弱性を修正する必要があり、これは常に時間のかかる作業です。また、ITスタッフが学生の脱出を阻止するのに忙しいと、エンドポイント検知・対応(EDR)コンソールで脅威を監視できなくなるとストックリー氏は警告します。
「私が話を聞いたITスタッフは、学生がインターネットで悪いことをしないようにすることを、外部からの侵入を防ぐことよりも優先していると言っています。それはより深刻だからではなく、次の火曜日にも起こりうるほど可能性が高いからです。」
学校にできることは?
ストックリー氏は、教育分野を学生によるインターネットへの脱出から守るには、他の多くの業界がファイアウォールを突破する脅威を心配するのとは異なる発想が必要だと付け加えます。懸念されるのは、学生が自分自身に害を及ぼしたり、規則や法令違反によって学校が問題を抱える可能性があることです。
「[防御]はすべてフィルタリングやアクセスルール、専門的なコンテンツフィルターの利用に関するものですが、そういった対策はVice Societyのような集団には通用しません」と彼は言います。「彼らには心から同情します。非常に限られた予算で多くの責任を負っているのです。人生のどの分野で、事実上のグローバルテロリストとその他すべての問題を同時に心配しなければならないでしょうか?」
また、学校は毎年新入生と卒業生が入れ替わるため、アカウントの入れ替わりが激しいです。毎年ユーザーが入れ替わることは非常に重要で、空のアカウントを確実に削除する必要があります。これらのアカウントはランサムウェア集団による乗っ取りの機会となり、大きなセキュリティ上の頭痛の種になる可能性があるとストックリー氏は警告します。攻撃者はアカウントを乗っ取り、権限を昇格させて機密情報にアクセスしようとします。
「彼らは自分の限界を試している」
Lumifi Cyberが学校区を監視する中で、学生のトラフィックが管理部門のネットワークと分離されていないフラットなネットワークが発見されました。これは危険な運用であり、機密機能が脆弱になるとハミルトン氏は警告します。学生のノートパソコンはロックされていましたが、脱獄する方法は存在します。
人工知能(AI)の利用拡大も、学校のセキュリティ負担を増やす可能性があります。例えば、AIツールによって学生がセキュリティコントロールを回避する新たな方法を見つけることができるかもしれません。「証拠はありませんが、これまでの調査や知識から考えて、それが起きていても驚きません」とマレ氏は警告します。
しかし、覚えておくべき良い点は、ほとんどの学生は悪意がないということだとマレ氏は強調します。
彼らは自分に何ができるかを試し、限界をテストしているのです。「ITチームと話し合い、技術的なセキュリティコントロールを導入することをお勧めします。」
ハッキングスキルの研鑽
こうしたリスクは、学生がいかにハッキングに長けているかを浮き彫りにしており、これらのスキルはAIの進歩とともにさらに向上していくでしょう。しかし、彼らが卒業し、脅威が学校の外に広がった場合はどうなるのでしょうか?
興味を持つ子どもたちは、無限の情報やリソースにアクセスできます。犯罪フォーラムには、子どもたちにコードの盗み方などサイバー犯罪のスキルを教える人々がいます。
「探せば、そこは訓練場です」とストックリー氏は言います。
ロシア系のアフィリエイトモデルやランサムウェア・アズ・ア・サービスの普及により、サイバー犯罪グループに参加するのはこれまでになく簡単になっています。Scattered Spiderのような犯罪集団は若者を積極的にリクルートしています。この問題は爆発的に拡大しているとハミルトン氏は警告します。
「もしあなたが今の若者、Z世代やそれ以下なら、チャンスはあまりありません」とハミルトン氏は言います。「地球は私たちを滅ぼそうとし、民主主義は崩壊しつつあり、所得格差もひどい。だったら犯罪に走るのも無理はないでしょう?」
翻訳元: https://www.darkreading.com/insider-threats/students-inside-threat-education-sector