米国 GAO K-12(幼稚園から高校まで)の学校へのサイバー攻撃が増加している...その対応は?
こんにちは、丸山満彦です。
米国のGAOが、K-12のセキュリティについてブログの記事を載せていますね。。。 2022.10.20に公表した報告書にもどつくものですね。。。
日本の文部省はこのあたりの領域については、どの程度力をいれているんでしょうかね。。。
● U.S. GAO - WatchBlog
・2023.12.01 As Cyberattacks Increase on K-12 Schools, Here Is What’s Being Done
| As Cyberattacks Increase on K-12 Schools, Here Is What’s Being Done | 幼稚園から高校までの学校へのサイバー攻撃が増加する中、何が行われているのか? |
| In recent years, cyberattacks on K-12 schools have increased. Not only do these attacks disrupt educational instruction and school operations, they also impact students, their families, and teachers. | 近年、幼稚園から高校までの学校に対するサイバー攻撃が増加している。こうした攻撃は、教育指導や学校運営を混乱させるだけでなく、生徒やその家族、教師にも影響を与えている。 |
| The scale and number of attacks increased during COVID-19 as more schools moved to remote learning and increased their reliance on IT services. | COVID-19では、多くの学校が遠隔学習に移行し、ITサービスへの依存度が高まるにつれて、攻撃の規模と数が増加した。 |
| Today’s WatchBlog post looks at the growing risks and impacts of cyberattacks on schools, and our work on federal efforts to assist K-12 schools. | 本日のWatchBlogでは、学校に対するサイバー攻撃のリスクと影響の増大、およびK-12学校を支援するための連邦政府の取り組みについて紹介する。 |
| What are the potential impacts of cyberattacks? | サイバー攻撃の潜在的な影響とは何か? |
| For our new report, we spoke with school districts and other stakeholders about the impacts cyberattacks have had on their schools, students, and community. Local and state officials told us that the loss of learning following a cyberattack ranged from 3 days to 3 weeks, and recovery time could take anywhere from 2 to 9 months. The financial impacts on schools can be broad. Officials reported monetary losses to school districts ranging from $50,000 to $1 million due to expenses caused by a cyber incident. These costs included, for example, replacement of computer hardware and enhancing cybersecurity to prevent future attacks. | この新しい報告書のために、私たちは学区やその他の関係者に、サイバー攻撃が学校、生徒、地域社会に与えた影響について話を聞いた。地元や州の関係者によると、サイバー攻撃による学習の損失は3日から3週間、復旧には2カ月から9カ月かかるという。学校への財政的な影響は広範囲に及ぶ可能性がある。関係者は、サイバーインシデントによって引き起こされた費用による学区の金銭的損失は5万ドルから100万ドルに及ぶと報告している。これらの費用には、例えば、コンピュータのハードウェアの交換や、将来の攻撃を防ぐためのサイバーセキュリティの強化などが含まれる。 |
| Cyberattacks can also result in the disclosure and theft of students’ and school employees’ (like teachers’) personal information. Schools and school districts collect and store a lot of personal information about students and employees. In a 2020 report, we found that information compromised as the result of a data breach included things like students’ grades, bullying reports, and social security numbers—leaving students vulnerable to emotional, physical and financial harm. | サイバー攻撃はまた、生徒や学校職員(教師のような)の個人情報の漏洩や盗難につながる可能性もある。学校や学区は、生徒や職員の個人情報を大量に収集・保管している。2020年の報告書では、データ侵害の結果漏洩した情報には、生徒の成績、いじめの報告書、社会保障番号などが含まれており、生徒が精神的、身体的、経済的被害に遭う脆弱性を抱えていることがわかった。 |
| How are schools being attacked? | 学校はどのように攻撃されているのか? |
| Individuals carrying out cyberattacks on schools can use several techniques. These include: | 学校へのサイバー攻撃を行う者は、いくつかの手法を用いることができる。以下のようなものがある: |
| ・Phishing, which is an attempt to acquire data or other resources through a fraudulent solicitation in email or on a website. | ・フィッシング:電子メールやウェブサイト上で詐欺的な勧誘を行い、データやその他のリソースを取得しようとする。 |
| ・Ransomware, which is a type of malicious software that attempts to block access to computer or data systems. During a ransomware attack, the perpetrator demands a fee to be paid in exchange for restoring access. | ・ランサムウェア:コンピュータやデータシステムへのアクセスを遮断しようとする悪意のあるソフトウェアの一種である。ランサムウェア攻撃では、犯人はアクセスを回復する代わりに料金を支払うよう要求する。 |
| ・Distributed denial-of-service attacks, which prevent or impair authorized use of networks, systems or applications by multiple machines operating together to overwhelm a target. | ・分散型サービス拒否攻撃:複数のマシンが標的を圧倒するために一斉に動作することで、ネットワーク、システム、またはアプリケーションの許可された利用を阻止または妨害する。 |
| ・Video conferencing disruptions, meaning attacks that disrupted teleconferences and online classrooms, often with pornographic or hate images and threatening language. | ・ビデオ会議の妨害:電話会議やオンライン教室を妨害する攻撃を意味し、多くの場合、ポルノ画像や憎悪画像、脅迫的な言葉が使われる。 |
 |
|
| Some examples of when these methods of cyberattacks were used on public schools include: | これらのサイバー攻撃手法が公立学校で使われた例としては、以下のようなものがある: |
| ・In December 2021, a vendor for Chicago Public Schools was a victim of a ransomware attack in which more than 500,000 students’ and staff members’ personal information was disclosed. The data included students’ names, schools, dates of birth, genders, school identification numbers, state student identification numbers, and course information from previous school years. | ・2021年12月、シカゴ公立学校のベンダーがランサムウェア攻撃の被害に遭い、50万人以上の生徒と職員の個人情報が流出した。データには、生徒の氏名、学校名、生年月日、性別、学校識別番号、州の生徒識別番号、過去の学年の履修情報などが含まれていた。 |
| ・In February 2021, Winthrop Public Schools in Massachusetts was the victim of a denial-of-service attack that disrupted learning and teaching on the district’s networks and web-based systems. This included emails, learning platforms and video conferencing services—all of which became essential to education during the pandemic when classes were taught remotely. | ・2021年2月、マサチューセッツ州のウィンスロップ公立学校はサービス妨害攻撃の被害に遭い、学区内のネットワークやウェブベースのシステムでの学習や授業が中断された。これには、電子メール、学習プラットフォーム、ビデオ会議サービスなどが含まれ、パンデミックの間、遠隔授業が行われていたため、これらのサービスは教育に不可欠なものとなっていた。 |
| ・Similarly, in September 2020, Miami-Dade County Public Schools was a victim of a series of denial-of-service attacks. This disrupted learning and teaching on the district’s networks and web-based systems. | ・同様に、2020年9月、マイアミ・デイド郡公立学校は、一連のサービス拒否攻撃の犠牲となった。これにより、学区内のネットワークやウェブベースのシステムでの学習や授業が中断された。 |
| ・Connecticut officials reported a school district had to shut down for 3 to 4 days due to a cybersecurity incident. This was followed by another incident that involved the Connecticut school district being re-infected 2 to 3 days later. Officials said the additional attack was enabled by the school district’s cybersecurity insurance company not providing sufficient recovery response. | ・コネティカット州当局の報告によると、ある学区ではサイバーセキュリティのインシデントにより、3〜4日間シャットダウンを余儀なくされた。このインシデントに続いて、コネチカット州の学区は2〜3日後に再感染を受けた。関係者によると、この追加攻撃は、学区のサイバーセキュリティ保険会社が十分な復旧対応を行わなかったために可能になったという。 |
| ・In California, officials told us students could obtain software for $30 to $50 on the internet that would allow them to disrupt school for 20 to 30 minutes during an attack. | ・カリフォルニア州では、生徒がインターネット上で30ドルから50ドルでソフトウェアを入手し、攻撃時に20分から30分間、学校を妨害することができると当局者は話している。 |
| Number of U.S. Students Affected by Ransomware Attacks on K-12 Schools and School Districts, 2018-2021 | 幼稚園から高校までの学校および学区に対するランサムウェア攻撃の影響を受けた米国の生徒数(2018年~2021年) |
 |
|
| What is the role of the federal government? | 連邦政府の役割は? |
| There is a national strategy for combatting cyberattacks led by the Department of Homeland Security’s (DHS) Cybersecurity and Infrastructure Security Agency (CISA). As part of that strategy, the Department of Education (Education) is responsible for coordinating and collaborating K-12 public school cybersecurity efforts with other federal entities—such as the FBI and DHS, as well as state, local and tribal entities. Education and CISA provide cybersecurity-related products and services to schools, such as online safety guidance. But beyond that, we found that these two federal entities otherwise have little-to-no interaction with other federal partners or the K-12 community regarding cyberattacks. This limits the federal role and ability to help schools . |
国土安全保障省(DHS)のサイバーセキュリティ・インフラセキュリティ庁(CISA)が主導するサイバー攻撃対策の国家戦略がある。その戦略の一環として、教育省(Education Department)は、K-12公立学校のサイバーセキュリティの取り組みを、FBIやDHSなどの他の連邦事業体や、州、地方、部族の事業体と調整し、協力する責任を負っている。教育と CISA は、オンライン安全ガイダンスなど、サイバーセキュリティ関連の製品とサービスを学校にプロバイダしている。しかし、それ以外の点では、これら2つの連邦事業体は、サイバー攻撃に関して他の連邦パートナーや幼稚園児から高校生までのコミュニティとほとんど交流がないことがわかった。このため、学校を支援する連邦政府の役割と能力が制限されている。 |
| We recommended that Education and DHS improve its coordination, enhance schools’ awareness of the federal services available to them, and measure the effectiveness of products and services used by schools. | 我々は、教育省とDHSが連携を改善し、学校が利用できる連邦政府のサービスに対する認識を高め、学校が利用する製品やサービスの効果を測定するよう勧告した。 |
| Learn more about cyberattacks and their impact on K-12 schools by checking out our recent report. | サイバー攻撃とその幼稚園から高校までの学校への影響については、最近の報告書を参照されたい。 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2022.10.22 米国 GAO 重要インフラの防御:K-12サイバーセキュリティを強化するためには、連邦政府のさらなる調整が必要である。
Comments