ペネトレーションテスト対策ガイド│Penetration Lab
ペネトレーションテスト対策ガイド│Penetration Lab » 業界別サイバー攻撃の被害事例 » 教育機関のサイバー攻撃被害事例

公開日: |最終更新日時:

教育機関のサイバー攻撃被害事例

目次

このページでは、日本国内の教育機関に対するサイバー攻撃の被害事例から、現状の課題やサイバー攻撃対策を考えています。

教育機関がサイバー攻撃の被害に遭う理由

日本国内だけでなく海外においても大学などの教育機関はサイバー攻撃のターゲットになりやすいリスクを抱えており、実際、規模の大小を問わずサイバー攻撃の被害や発生について報告する大学は毎年存在しています。

そもそも教育機関がサイバー攻撃に遭いやすい理由としてはいくつかのものが考えられます。例えば、大学法人のような組織や機関は学生の学習指導などを行うだけでなく、それぞれが独自の学術研究などを行っており、そういった機密情報や最新のデータを狙ってサイバー攻撃を仕掛けてくる犯罪者もいるでしょう。

また、教育機関は個々の学生や教育者などについて膨大な個人情報を抱えており、それらを狙って不正アクセスを試みる犯罪集団も少なくありません。

さらに、大学などの教育機関に対するイメージとして、「セキュリティ対策や情報リテラシーが不十分」といったものがあることも重要です。

重大な機密情報や顧客情報などを管理している民間企業に対して、特に公立校など公共事業の一環として運営されている大学などでは、どうしても設備面や意識面でセキュリティ対策が不十分になっていることもあります。加えて、実際は適切な備えがなされていても、単に「セキュリティ管理が脆弱そう」という印象があるだけでターゲットになりやすいといった面もあるでしょう。

教育機関のサイバー攻撃事例

北海道大学の不正アクセス被害

2023年11月28日、国立大学である北海道大学において、同大学大学院工学研究院が管理している工学部Webサーバに対して第三者による不正アクセスが実行されたことが判明しました。またこれにより同年11月6日~11月28日の期間にデータベースへ保存されていた個人情報が流出した可能性があることもアナウンスされています。

流出した情報は学生の個人情報や協力員の個人情報、さらにその家族の情報まで数万件に及び、北海道大学は公式謝罪と共にサーバやシステムの運用方法の見直しを実施しました。

参照元:北海道大学工学部|工学部ウェブサーバへの不正アクセスによる個人情報流出の可能性について
https://www.eng.hokudai.ac.jp/news/?file=12795

大東文化大学の不正アクセス被害

2024年3月27日付けの公式アナウンスとして、大東文化大学では同大学の非常勤講師が所有しているパソコンに対して外部からの不正アクセスが発生し、講師が担当していた科目に関して学生の成績を含めた個人情報が流失した可能性があると公表しました。

流出した恐れのある個人情報は69名分とされており、大学は速やかに警察への被害届の提出や対象となる学生への個別連絡といった対応を行ったということです。

参照元:大東文化大学|不正アクセスによる情報漏えいのおそれがある事案の発生について
https://www.daito.ac.jp/news/details_42703.html

教育機関のサイバー攻撃への対策は?

教育機関におけるサイバー攻撃への対策や情報管理の改善策としては、サーバやシステムといった機器やソフトウェアの管理・運用方法の見直し、適切なセキュリティソフトやファイアウォールなどの利用、そして学生や教職員といった個人の情報リテラシー向上などが挙げられます。

大前提として、脆弱性のあるシステムやサーバを運用したり、セキュリティホールを放置したりすれば、サイバー攻撃に対抗することは難しくなります。また個々のパソコンやデバイスなどに適切なセキュリティソフトやファイアウォールを用意し、定期的なアップデートを行って常に最新の防御態勢を整えておくことも必須です。

加えて、どれほどシステムやハードで対策を講じたとしても、パソコンやデバイスを利用する教職員や学生のセキュリティ意識が不足していれば不正アクセスやマルウェア感染といった危険を回避することはできません。そのためセキュリティ担当部門を設置し、各自の情報リテラシーを高められるような研修や情報管理体制を整備することが不可欠です。

CSIRTの設置

CSIRT(Computer Security Incident Response Team)とは、サイバー攻撃などインシデントの発生時に対処する専門チームです。教育機関のサイバー攻撃対策として、適切な部門を設置して予防に努めることはもちろん、実際に問題が発生した際の対処法についても事前に想定しておくことが重要となります。

CSIRTは問題発生を予防するためのチームではなく、問題が発生した際の被害を最小限に抑えるためのチームであり、専門家にも相談しながら適切に構築しておくことが大切です。

セキュリティ対策としてペネトレーションテストのススメ

本メディアでは得意な領域ごとにおすすめのペネトレーションテストベンダーを紹介しています。ペネトレーションテストの依頼を検討されているご担当者はぜひ参考にしてください。

【得意領域別】おすすめ
ペネトレーションテストベンダー3選

よく読まれている関連ページ
得意領域から見る
ペネトレーションテスト
おすすめベンダー3選

ここではサイバー攻撃の標的として狙われやすい「製造業」「金融機関」「IoT」の3つの中から、それぞれのおすすめの理由とともにおすすめの企業を紹介します。

電子・化学・自動車など
製造業なら
サイバーディフェンス
研究所
サイバーディフェンス研究所HPキャプチャ
画像引用元:サイバーディフェンス研究所公式HP
https://www.cyberdefense.jp/
おすすめ理由
  • 業界に精通したメンバーによるテスト

製造業へのテスト実行には、古い技術や複雑な構成を理解する専門的な知識が必要。サイバーディフェンス研究所には製造業のネットワークを熟知した専門家が在籍しているため、高品質なテストを可能としています。

  • 現場を止めずに実施が可能

制御システムの運用に影響を与えない「可用性重視」のテストを採用し、実システムへのオンライン診断、模擬システムでの診断など、ニーズや背景に応じて対応。

公式HPを見る

詳細を見る

銀行・証券会社など
金融機関なら
セキュアワークス
セキュアワークスHPキャプチャ
画像引用元:セキュアワークス公式HP
https://www.secureworks.jp/ja-JP
おすすめ理由
  • 日本における実績多数

日本でも三菱UFJ銀行などメガバンクをはじめセブン銀行、大和ネクスト銀行にTLPTを実施し、各行の有効性を実証するとともにマニュアル改善にも寄与。

  • 世界基準のTLPTの実施が可能

本社はアメリカにあり、イギリス・フランスなど各国に支社を構えているため、世界基準の脅威ベースのペネトレーションテスト(TLPT)の実行が可能。

公式HPを見る

詳細を見る

開発メーカーなど
IoT機器なら
GMOサイバーセキュリティ
byイエラエ
gmoHPキャプチャ
画像引用元:GMOサイバーセキュリティbyイエラエ公式HP
https://gmo-cybersecurity.com/
おすすめ理由
  • 本体を分解する徹底ぶり

スマートロックを開発企業フォトシンスの事例では、機器本体を分解をし、そこから脆弱性を見つけ出すテストなど、手作業によるテストも実行。

  • 情報セキュリティサービス台帳に登録

GMOが提供しているIoTペネトレーションテストはサービスの品質と信頼性を証明する経済産業省の「情報セキュリティサービス台帳」に登録。

公式HPを見る

詳細を見る

得意領域から見る
ペネトレーションテスト
おすすめベンダー
3選