新学期に向けたUnit 42からのサイバーセキュリティアドバイス

This post is also available in: English (英語)

いよいよ新学期が近づいてきました。今年は最新の新型コロナ感染症対策のガイダンスにしたがって生徒、親、教師ともに健康を守っていくことが大切です。それとともに大切なのが、オンラインで安全に過ごすためにサイバーセキュリティの基本的な衛生管理を忘れないことです。

学校で稼働している機器やソフトウェアには古いものが少なくありません。そのぶん、システムの更新が難しく、サイバー攻撃による影響も受けやすくなっています。また手持ちのデバイスを扱うとき、サイバーセキュリティのベストプラクティスを守らない生徒や保護者、教師も少なくありません。これらがさらに状況を悪化させ、サイバー犯罪者が教育機関に大きな損害を与える土壌をつくりだしてしまっています。

パロアルトネットワークスの直近のデータによると、教育業界をターゲットにしたフィッシングURL(個人情報を盗むために偽のWebサイトにユーザーを誘導するURL)が占めるトラフィックの割合は、世界的に6月には47%の増加、7月には27%の増加となっていました。サイバー犯罪者が新学期を前に攻撃を強化している様子がうかがえます。

安全に新学期を迎えるための3つのアドバイス

1. アカウントやデバイスごとに異なるパスワードを使用しよう

パスワードは誰もが苦労しているセキュリティベストプラクティスです。SecureAuthの2020年のレポートによると、53%の人が「複数のアカウントで同じパスワードを使いまわしている」と認めているそうです。でもこれが結局、サイバー犯罪者によるアカウント乗っ取りや個人情報の窃取をやりやすくしてしまっています。

このパスワードの使いまわし問題は教室でもよく見られるもので、たとえば筆者が知っている範囲でも、先生がストリーミングサービスのパスワードを教室内で共有していた例があります。パスワードを共有してしまうと、それをサイバー犯罪者が悪用する可能性がありますし、同じ電子メールアドレスとパスワードを使いまわしていれば、その認証情報が盗まれたときには他のオンラインサービスのアカウントも危険にさらしかねません。

すべてのアカウントとデバイスに強力なユーザー名とパスワードを設定し、それらを一括でパスワードマネージャーで管理するようにしましょう。そのうえで、パスワードマネージャー自体に強力なユーザー名とパスワードを設定し、「2要素認証」も必ず有効にしましょう。「2要素認証」というのは「自分が知っているもの(知識情報の要素。たとえばパスワード)」と「自分が持っているもの(所有の要素。たとえばデバイス)」など、みなさんの身元を確認するにあたって2つの方法を求めることでセキュリティを強めています。2要素認証は、弱い認証情報や盗まれた認証情報を悪用するサイバー犯罪者からログインを保護してくれます。2要素認証を有効にすれば、パスワードマネージャーが保持する個人情報のセキュリティをもう一段強化することができます。

2. 自分の学区のサイバー衛生状況を積極的に確認しておこう

全国的に学区を狙うサイバー攻撃が横行しています。ですから、ご自身の学区が子どものプライバシーを保護しているかどうか、サイバー犯罪者が子どもの教育を妨害しないように対策を講じているかどうかを把握しておくことが大切です。

昨年、連邦捜査局(FBI)、国土安全保障省(DHS)、多州間情報・共有分析センター(MS-ISAC)は、学校に対するランサムウェア攻撃、分散型サービス拒否攻撃(DDoS)、ビデオ会議の混乱について警告する共同勧告を公開しました。予算が限られている学校はサイバーセキュリティ対策がきわめて脆弱なところも少なくなく、サイバー犯罪者はそうした状況につけこんできます。

とくにランサムウェアは世界的な危機となっていて、とりわけ教育分野はよく狙われています。ランサムウェアの影響を受けている学校は多く、あるケースでは、サイバー犯罪者が生徒や教師の個人情報をオンラインに掲載しない見返りに4,000万ドルを要求したこともあります。

生徒の個人情報はサイバー犯罪者にとってとくに貴重です。子どもや親は、自分たちのIDを使って誰かが詐欺を働いていることに気づく可能性が低いからです。親が子ども名義で銀行口座を開いていなければなおさらで、その場合は注意喚起すらできません。

ですから、ご自身の学区がサイバー脅威に対してどのような対策をとっているのかをきちんと確認しておきましょう。ご子息の通う学校は、子どもの情報やインフラを守るためにサイバーセキュリティソリューションに投資をしているでしょうか。生徒や教師を対象としたトレーニングを行ってセキュリティ問題の啓発を行っているでしょうか。ご自身の学区のサイバーセキュリティ対策についてはたくさん知っておくにこしたことはありません。

3. 子どもたちは技術には詳しくてもサイバーセキュリティに詳しいわけではないことを認識しよう

現代の子どもたちはデジタルネイティブで、画面でものをみることやソーシャルメディアを扱うことに慣れています。こうした最新のテクノロジやプラットフォームに親がついていくのはなかなかにきびしく、2020年度のPew Research Centerの調査では66%の親が「20年前と比べて現在の子育ては難しい」と答えています。その理由として多くの親が挙げたのが「テクノロジ」なのだそうです。

ですのでぜひ、子どもたちの使うデバイスや学習プラットフォームに慣れるように努力してください。とくにペアレンタルコントロールやプライバシー設定の方法はよく知っておいてください。子どもたちはそうしたコントロールをかいくぐる術を身に着けていますから、彼らがアクセスしているコンテンツには常に用心してかかりましょう。

子どもたちは、技術力は高くても、セキュリティベストプラクティスへの意識は低い傾向があります。ですから前述の強力なパスワードの使用のほかに、2要素認証を有効にすること、フィッシング詐欺の見分けかたを知ること、最新のソフトウェア修正プログラムをインストールすること、Webカメラは使用していないときはなにかで覆っておくこと、公共のWi-Fiネットワークの使用を避けることなど、子どもたちとデバイスについて、基本的なサイバーセキュリティ衛生が実践されていることをしっかり確認してください。

きっとみなさんはご家庭で子どもたちに「知らない人に話しかけちゃダメ」「車に乗ったら必ずシートベルト」などの基本の安全対策を教えていることと思います。おなじように、基本となるオンラインでの安全対策を教えて、ご家庭や教室でのデジタルライフを守っていくことが大切です。

このほかのデジタルホームの安全性に関するアドバイスは「ランサムウェア攻撃を阻止するUnit 42からのサイバーセキュリティアドバイス」「2020年の年末セール時期を安全に乗り切るUnit 42からのサイバーセキュリティアドバイス」、「2020年版ご家庭CIO向けサイバーセキュリティアドバイス」も合わせて参考にしてください。