この記事は、大学・高校もしくは教育機関のWebサイトのご担当者、または前述した機関のサイトを制作されている制作会社様向けの記事です。
目次
1.大学・高校・教育機関への不正アクセス発生件数
サイバー攻撃のターゲットは企業や官公庁だけと思っていると大間違いです。
大学を中心に各教育機関を狙った攻撃が後を絶ちません。
国家公安委員会の発表では2018年には最も多い年間で161件の不正アクセスが報告されており、翌年2019年は減少したものの2020年にからまた増加傾向にあります。
不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況>>
「一般企業のほうが件数は多いからそんなに気にするものでもないんじゃないの?」というお声もありますがそもそも元となる母数が全く違います。
日本国内における大学の総数や約800校、高校の総数は全制度を含め約5,600校、二つの合計で6,400校しかありません。
しかし、日本国内における一般企業の件数は大学・教育機関の約540倍の数約367万社あると言われています。
上記の表で発生率を考えると
大学、研究・教育機関 0.17%
一般企業 0.08%
と倍以上の不正アクセスの発生率になっています。
最も多かった2018年では2.52%で100校のうち2校が不正アクセスが発生していたことになります。
この数字を見てもまだ「そんなに気にするものでもないんじゃないの?」と思えますか?
2.狙われやすい大学・高校・教育機関のWEBサイト
答えは簡単です。日本の教育機関は企業と比較するとセキュリティの強制力も弱く情報セキュリティが甘いと言わざるを得ないからです。
主な原因としては3つ、予算、組織、人が挙げられます。
教育機関は企業と比べるとITにかける予算が少ないことが一般的です。
よってセキュリティのシステム導入まで少ない予算では配分が出来ず対策が不十分になります。
次に組織の問題として特に大学では各学部や実験・研究の目的ごとにサーバやネットワークが構築されることがあります。
しかし、情報システム部門を置いている大学は少なく、学内全体のネットワークやサイトの管理を行えていないことも現状です。
最後に人の問題ですが、教職員が中心の教育機関では情報セキュリティの意識はあっても「どうやって対策するべきか」を熟知している人はいません。
自分たちが受け持つ教科以外のことは気が回らないのです。
文部科学省が不正アクセス撲滅のために情報セキュリティポリシーに関するガイドラインも公表されていますがなかなか徹底出来ていません。
「教育情報セキュリティポリシーに関するガイドライン」公表について>>
【大学の情報漏えい事例】不正アクセスによって起きるトラブル
大学・教育機関が不正アクセスをされたことでどんなトラブルが起こっているのかを知ってみましょう。
以前のコラムでもご紹介した事例もぜひご参照ください。
3.1 スパムメールの踏み台にされる
使用しているメールアカウントを乗っ取られスパムメールの踏み台にされるケースです。
メールアカウントを乗っ取られる原因は主に2つ。
・Webサイトの脆弱性を突かれる
・アカウント情報の管理ミス
Webサイトの脆弱性を放置してしまい悪意のある第三者から脆弱性を突かれメールアカウントを乗っ取られてしまうケースです。
そんなことが実際に起こるのかと疑われる方はぜひ下記の記事をご一読ください。
その他の事例
不正アクセスによる迷惑メール送信のお詫びについて 群馬大学>>
不正アクセスによる迷惑メールの送信について 高崎経済大学>>
不正アクセスによる迷惑メール送信について 東北医科薬科大学>>
教職員用メール不正利用による迷惑メール送信について 鶴見大学>>
不正アクセスによる迷惑メール送信について 神戸海星女子学院大学>>
京都教育大学WWWメールへの不正アクセスによる学外への多量迷惑メール送信について 京都教育大学>>
3.2 フィッシングサイトのリンクを埋め込まれる
Webサイトを改ざんされ、不正なサイトへのリンクを埋め込まれるケースです。
サイト上の改ざんリスクを放置すると発生するトラブルで個人情報漏えいにもつながるケースがあります。
「教育機関のWebサイトでそんなことが発生するの?」と疑ったあなた。
直近で発生しているケースもございますので認識を改めて下さい。
琉球大学移転事業Webサイト改ざんに関するご報告とお詫び 琉球大学>>
3.3 掲載内容を書き換えられる
Webサイトの改ざんリスクを放置していると発生する可能性のもう一つのケースです。
書き換えというと言葉として軽く感じ取られますが実際はかなり深刻です。
しかし、下記の件を見て頂ければご理解いただけるかと思いますがデータを削除されてしまったり研究内容を書き換えられたりするケースが発生しています。
3.4 Webサイトにウイルスを仕込まれる
Webサイトを改ざんし不正な動きをするスクリプト(ウイルス)を埋め込まれ閲覧した学生やユーザーのPCに影響を与えるケースです。
マルウェア等はこのケースが多くページを開いたユーザーのPCに感染し二次被害を与えます。
4.大学・教育機関におけるセキュリティ対策はどうしたらいいの?
以前に、独立行政法人情報処理推進機構(IPA)が「大学における最新の情報セキュリティ脅威事例>>」ではマルウェアの感染や不正アクセス、機密情報の流出など、セキュリティ上の脅威となる事件の原因を以下のように発表しています。
■Webサイトの脆弱性 95%
クロスサイトスクリプティング 46%
SQLインジェクション 15%
DNSの設定不備 34%
もちろん、教職員の不注意や紛失、誤送信などもありますが多くがWebサイトの脆弱性を突かれた結果と発表されています。
この結果を見ると不正アクセスが発生した大学が対策として発表している「教育研修を強化し、意識向上を図る」ことはあまり重要性は無いように感じます。
5.まとめ
大学・教育機関といえども個人情報保護法は適用されますし、ユーザーに損害を与えると損害賠償請求の対象になります。
若者へ安全・安心な教育の場を提供するためにも一度自分たちのWebサイトのリスクを診断してみてはいかがでしょうか?