ニュースレターWEB
悪用リスクが高い 生徒児童等の個人情報について
どのような方法で個人情報が漏洩してしまうのか?
今月の学校リスクマネジメント通信は、当機構代表者の宮下賢路と情報セキュリティ事故発生時の初動対応から事後のセキュリティ対策まで支援しているP.C.F.FRONTEO(株)のコンサルタント藤原弘二氏との対談の模様をお届けいたします。
宮下
私は藤原さんと、学校での情報セキュリティ事故発生時の危機対応等について、一緒に仕事をする機会があるのですが、個人情報漏洩の原因として学校が注意しなければいけないことは何だと思いますか?
藤原
昨今一番多いのが、一般的なコンピューター等が高度にプログラミングされている新しいコンピューターウイルスに感染してしまうことです。
コンピューターウイルスは、ウイルス対策ソフトウェアを導入していても、検知されにくいタイプにどんどん変化していくため、最新にアップデートされたものを導入していたとしても、市販のウイルス対策ソフトウェアでの検知率は40%~60%程度(※)です。つまり、「ウイルス対策ソフトウェアを導入していても感染を防ぐことはできない」ということを基本的な知識として理解しておく必要があるということです。
攻撃者は、最新のウイルス等をメールに添付して、学校や個人のメールに送ってきます。
この中には、標的型攻撃といわれる手口があるのですが、これは送信されてくるメールの件名や表示されている相手のメールアドレスが自分の知り合いや取引先になっていたり、ドメインが似ていることがあるため、事前知識がない場合は、そのメールを信用してしまい、添付ファイルを自然と開封してしまうのです。そういったことから、ウイルスに感染してしまいます。
(※)株式会社FRONTEOの調査による
宮下
既に学校のパソコンやサーバー等が悪意あるプログラムに感染していて、個人情報の漏洩に長期間気付いていない場合は、個人のメールのやり取りの内容を攻撃者が事前に入手できるので、いくらでも関係者に成りすますことができます。
このようにメール経由で感染してしまうケースは多いですよね。
藤原
そうですね。メール経由も勿論多いのですが、あとはインターネット上にあるフリーソフトウェアを便利だと思ってダウンロードしたら、結果的にウイルス等のプログラムを一緒にダウンロードしていたというケースも危険です。
例えば、無料の文章ひな形ソフトやカレンダーツール等にウイルス等のプログラムが組み込まれている場合もあります。
こういったウイルスに感染すると、そのプログラムがパソコンに潜伏したり、パソコンの内部に侵入したりしてしまいます。
そして、攻撃者の目的が個人情報の不正入手にある場合には、C&Cサーバー(コマンド&コントロール)といわれる学校外部のインターネット上に攻撃者が設置したサーバーが、学校内部に侵入している不正なプログラムと通信を始め、情報システム管理者等に割り振られているパソコンの管理者権限を盗んでしまうのです。
攻撃者はその管理者権限さえ奪ってしまえば、あとは校内のパソコンやサーバーにあるファイルは何でも取り放題になってしまい、その情報がC&Cサーバーへ吸い上げられてしまうのです。
宮下
そうすると攻撃者は生徒児童等の成績情報 や生徒指導の内容、また、入学試験問題や教職員の給与額、さらには重要な会議や理事会の議事録に至るまで、学校内のネットワークに繋がっているパソコンやサーバーから、あらゆる情報を盗むことが可能だという事ですね。
これらの情報が悪意のある組織に渡ってしまうと、子どもたちの生命・身体・精神等を直接脅かすことに悪用されるため非常に危険です。
また、学校経営に伴う財務情報やマーケティング情報、そして、取扱に注意を要する機密情報等が外部に漏洩した場合のリスクも非常に甚大だと思います。
藤原
攻撃者は、学校の情報システム管理者等に不審なプログラムの動きが見つからないよう夜中に通信を実行したり、また、長期間潜伏して目立たないよう欲しい情報を欲しいタイミングで奪うこともあります。
学校の情報システム管理者やパソコンの販売業者等が校内のシステムを運用をしている場合でも、高度なセキュリティの領域に専門性が無い場合が多いため、このような情報漏洩に気が付くことは難しいと思います。
宮下
なるほど。そこは専門領域が全く違うという事なのですね。この様に漏えいした個人情報が、例えば、恐喝だったり、脅迫だったり、オレオレ詐欺だったり、または、誘拐だったりと、犯罪に使われてしまう事もあると思うのですが、やはりそこが心配です。
ダークウェブの危険性について
藤原
ダークウェブと言われている闇取引の場所があるのですが、そこでは学校で吸い上げられた個人情報が取引されているケースがあるのです。
宮下
インターネットの深い場所にある闇取引の場所ですね。通常のパソコンのブラウザーからは閲覧できないような。世界的に闇サイトの摘発も進んでいるとの報道がありますが、すぐに別のサイトが作られるためイタチごっこのようです。
藤原
ダークウェブは買えない物は無いと言われているぐらいの場所であり、公では売ってはいけない物も売られています。
宮下
学校からしてみるとコンピューターウイルスに感染すると、攻撃者が設置したC&Cサーバーに個人情報等のファイルが吸い上げられてしまい、そこからダークウェブという闇市場で売買され、悪用されてしまう可能性があるという事なのですね。
藤原
そうです。まさにそういう事なのです。だから、大切な個人情報を大量に扱っている学校は、強固な情報セキュリティ対策が必要になってくるのです。
※対談の続きは次号以降でもお届けしていきます。
この記事は当機構が制作・発行している「学校リスクマネジメント通信」をWEB版として編集したものです。