サイバー攻撃に狙われる米大学の国防研究、個人情報

  on
IBT151002  大学ハッキング
大学の情報を狙ったハッキングが増加しているが、学生の意識は低い Getty Images/Jeff Pachoud

米ニュージャージー州のラトガース大学に通う学生たちは今週、インターネットのない大学生活とはどんなものか、身をもって体験した。同校は28日朝、サイバー攻撃を受け、6万6000人の学生たちは、さあ1週間を始めようというときになって暗闇に放り出されたのだ。これは、米国の主要大学に対する攻撃で最新のものだ。米国の大学は、学術ネットワーク上の貴重な情報に対するハッカー被害を防ぐ取り組みを進めてきている。

先学期、Exfocusと名乗るハッカーのサービス妨害攻撃を受けて、5日間インターネットをオフラインにすることを余儀なくされて以来、同大学は恐らく少しはコンピュータなしでやっていくのに慣れてきたのではないかと思う。データは盗まれていないようだが、1年で5回目の攻撃により、大学は300万ドルの支出を余儀なくされ、サイバーセキュリティの改善のため、学費を値上げした。しかし、もっとひどいことになっていたかもしれない。

Exfocusのような小規模なものから(このExfocusは、ラトガース大学攻撃は、恨みを持つ人から雇われたのだと主張している)、外国政府のために働くプロまでいるハッカーらにのため、サイバーセキュリティは大学の大きな関心事となった。シマンテック社の「インターネット・セキュリティ脅威報告2015」によれば、2014年の、教育機関のデータブリーチは、医療、小売に次いで3番目で、その後に政府機関や金融、保険といった業界が続く。スピアフィッシング攻撃では、教育は主要な業界にランクインしていない。

非営利団体Privacy Rights Clearinghouseによれば、教育機関は2005年1月から2015年8月までに、少なくとも751件のハッキング被害を受けている(Privacy Rights Clearinghouseは主要な被害のみを追跡しているので、実際にはもっと多いと思われる)。2005年以降では医療がもっともハッキング被害を受けている産業で、その次に政府機関の705が続く。

ハッカーが学術機関を狙うことに不思議はない。大学のデータには氏名、住所、電話番号、社会保障番号、医療記録、成績(これは闇市場では1件30ドルもの値が付くことがある)、等の情報が含まれており、在学生や卒業生がなりすまし被害の脅威にさらされる可能性がある。

大学はまた、知的所有権や特許、国防総省が集めた軍事機密を含め、政府の助成を受けた研究なども所有している。バージニア大学は、国防総省や情報機関のさまざまな研究やテストを行っているが、8月、中国のハッカーに情報を盗まれたことを認めた。

「大学側は認識し始めたばかりですが、これは非常に大きな問題です」とミシガン大学のドン・ウェルチ(Don Welch)情報部長は言う。「銀行に盗みに入るのはなぜか?お金がある場所だからです。私たちも、犯罪者やハッカーたちにとって非常に貴重な、価値のある情報を持っているのです」

シマンテックの報告書は、2014年、31件の教育機関の被害を報告しているが、これはその年の被害の10%に上る。2014年の個人情報漏えいについては、教育は9番目となり、全体の4%、1,359,190件のデータ流失を出している。

「大学がハッカーらにとって試験台になっていることが分かってきました」というのは、パスワード保護会社、PhishMeのロイト・ベラミー(Royht Belani )CEOだ。アクセスできる学生のアカウントが多いことも、大学が攻撃されやすい理由だと同氏は指摘した。

「資産家も、こうした大学に寄付をします。『銀行を乗っ取ることができなくても、たった一人の人の個人情報を乗っ取ることができれば、かなりいい線行くのさ』とハッカーたちは言っています」とベラミ―氏は言う。

バージニア大学だけではない。ペンシルバニア州立大学やコネチカット大学は、どちらも防衛研究を行っているが、最近外部からネットワークに侵入されていることを発見した。ペンシルバニア大学の応用研究所も、ほぼペンタゴンのみのために研究を行っている部門の1つで、宇宙工学の開発を行っている。捜査を行ったFBIとファイヤ・アイは、検知されるまでに2年以上もシステムにハッカーがいた可能性があると大学側に伝えた。

「大学は、外部の世界のために偉大な技術を開発するが、内部的に、自分を守るためには同じように行動しない」というのはサバーセキュリティ会社、Keeper Securityのダレン・グチオーニ(Darren Guccione)氏だ。同社はスタンフォード大学やその他多くの大学を担当している。多くの大学は、十分でない数のIT人材に依存しており、サイバーセキュリティに精通した人を雇うだけの助成を受けていないと同氏は言う。

「こうした状況があって、大学は世界最高の頭脳を利用するロシアや中国からのハッキングを受けている。彼らがやっているのは、取引の秘密を盗むことだ」と彼は言う。

大学の情報統括責任者は学生の自己防衛の失敗にも対応しなくてはならない。サイバーセキュリティの研究によれば、ミレニアル世代は、他の世代よりも、ネット上の自分の個人データは保護されていると信じる傾向があり、自己防衛の意識が薄いと指摘されている。

高まりつつある意識

もっとも簡単で明白な方法は、異なるパスワードを使うことだ。しかし、問題の存在が認識されるにしたがって、研究や取引上の秘密を保護するための手段も続々と入ってきた。

多くの大学が、注意を要するプロジェクトに携わったり、外国に旅行したりする関係者に、暗号化されたコンピュータを貸与している。IT担当者はPGPソフトの入ったラップトップを貸出し、職員に、保護を最新にするよう説明をする。返却されれば、貸与機はクリーンアップされる。

サイバー攻撃に対する意識を高めようと全学的に取り組む大学もあり、教授陣が、にせのサイトにユーザー名、パスワードをインプットするようにしかけるメールの検知を助けている。ミシガン大学のセキュリティのプロは、毎日「何千もの」ハッキングを防いでおり、テクノロジーの最先端を研究する教職員と連携して、どの職員の身分証明が特に部外者にとって価値があるかを特定している。

「アカウントは毎日危険にさらされていますし、悪者に侵入されたこともあります。成功とは、何も起こらないことです」とミシガン大学のセキュリティ責任者ドン・スミス(Don Smith)氏は語った。

*この記事は米国版International Business Timesの記事を日本向けに抄訳したものです。(原文記事:Jeff Stone記者「Hacker University: Cyberattackers Target Military Research, Student Records At 'Soft Target' US Colleges」)