コラム｜Column

なぜハッカーは学校を狙うのか。学校を狙った海外のサイバー攻撃事例。

イメージ図

index

なぜハッカーは学校を狙うのか
学校を狙ったサイバー攻撃の事例
なぜ学校はランサムウェア攻撃を阻止できないのか
今すぐ学校の情報セキュリティを守るために

2025/6/13

グローバルリーチの特集コラムにようこそ。

世界中でサイバー攻撃が過激化・高度化する昨今、特にターゲットにされているのが教育機関です。実際に、幅広いセキュリティサービスを展開しているIIJにも日々お問い合わせがきており、国内外で「学校とサイバー攻撃」を巡る課題は重大なものだと実感しています。

そこで今回のテーマは「なぜハッカーは学校を狙うのか」です。米国や英国へのサイバー攻撃などを例にしながら、学校のサイバーセキュリティの課題を浮き彫りにします。そして、教育機関は今後どのようなサイバーセキュリティ対策を実施する必要があるのかなどについて、IIJ編集部独自の視点も加えつつ考えます。ぜひ最後までご覧ください。

なぜハッカーは学校を狙うのか

近年、学校がサイバー攻撃の格好の標的となっています。様々な教育機関がリモート学習を取り入れたことで、各教育機関の学内システムなどのセキュリティ上の脆弱性が明らかになってしまい狙われているのです。

2025年の第一四半期の世界の教育セクターにおけるランサムウェア攻撃は、2024 年の同時期を比較して 69% も急増し、2025年に入ってわずか3か月の間に合計81件のランサムウェアによるインシデントが報告されています。要求された身代金の平均額は60万8,000米ドルで、台湾の亜州大学では身代金として史上最高額となる150万米ドルが攻撃者から要求されました。

世界中の教育機関が直面している脅威の深刻さを浮き彫りにしています。しかし、なぜ教育セクターがこれほどまでに標的にされているのでしょうか。

その答えは教育機関で価値の高いデータを抱えていること、それに対してサイバーセキュリティ対策が脆弱であることにあります。

1. 価値の高いデータ

教育機関は以下に挙げられるような、非常に価値の高いデータを数多く保有しています。

学生の記録	成績、行動評価、特別支援教育の記録
健康データ	病歴、保険の詳細
個人情報	氏名、住所、保護者の情報、国民ID
財務データ	授業料の支払い・奨学金の情報、クレジットカード情報
研究データ	機密性の高い最先端の研究内容

2. 限られたセキュリティ保護とトレーニング

多くの学校では、サイバーセキュリティを強化するための人的リソースが不足しています。基本的に施設の維持費や学校活動費などに予算を割く事情もあり、サイバーセキュリティ対策はあまり優先されません。リソース不足によって下記のような状況が生じてしまい、セキュリティ体制の脆弱性を探している攻撃者の格好のターゲットになっています。

保守が切れたソフトウェアとシステム
必要最低限のITスタッフ
教師と生徒向けのサイバーセキュリティトレーニングの欠如

3. ドメインがフィッシングの被害に遭いやすい

教育機関がよく利用するドメイン「.edu」または「.org」を使ったWebサイトは、一般的に信頼性の高いイメージを持たれることが多いですが、ハッカーはその信頼性を次のように悪用します。

教育機関ドメインを悪用した偽のウェブサイトの作成
フィッシングメールの送信元としてドメインを悪用する
一見無害なダウンロードサイトにマルウェアを埋め込む

フィッシングの手口が巧妙になるにつれ、ユーザーが本物と偽物を区別することが難しくなっています。よく見かけるドメインだからといって、教育機関が運営する公式サイトとは限らないため注意してください。

学校を狙ったサイバー攻撃の事例

米国ジョージア州の複数の学校におけるデータ侵害事例

2025年5月、米国の教育機関は深刻なサイバー攻撃を受けました。ジョージア州では、ランサムウェアの攻撃により、29 の学校にて約 23,000 人の生徒が影響を受けました。学区のITチームは異常なアクティビティを検出し、すぐにシステムをオフラインにしましたが、この事件はジョージア州緊急事態管理局と国土安全保障省にも報告されるほど話題になりました。

ウェスタンニューメキシコ大学のデータ侵害事例

ウェスタンニューメキシコ大学は、約3,000人の学生に影響が及ぶデータ侵害があったと発表しました。このインシデントによって、学校システムが抱える脆弱性が露呈しました。

ミシガン大学のデータ侵害事例

ミシガン大学が大規模なデータ侵害に見舞われ、学生、志願者、卒業生、寄付者、職員、関連業者など、23万人以上が影響を受けました。攻撃者は銀行口座の情報、社会保障番号、健康記録などの機密性の高い個人データにアクセスしたため、同大学は学内ネットワークを4日間切断、サイバーセキュリティ専門家を雇用することで対応しました。しかし、被害規模が甚大だったこともあり、学校側はデータ保護の過失として2件の訴訟を起こされています。

スコットランドの学校のランサムウェア被害事例

インシデントは米国以外の国でも起こっています。例えばスコットランドではウェスト・ロージアン州議会区域内のすべての学校が、米国のインシデントとほぼ同時期にランサムウェア攻撃の被害を受けました。13の中等教育学校、69の小学校、61の保育園を含むほどの大規模攻撃で、スコットランド警察と政府当局が犯罪捜査に乗り出すなど大きな事件に発展しました。

イングランドの学校のランサムウェア被害事例

イングランドとウェールズの国境付近に位置するブラコン高等学校は、今年初めにランサムウェアの攻撃を受けてサイトの一時閉鎖を余儀なくされました。当初は数日以内に復旧すると予想されていましたが、サードパーティのフォレンジック会社のサポートをもってしても、実際には復旧作業が予定より長く約10日を要しました。

これらの事例はほんの一例に過ぎません。世界の中の教育機関は、非常に価値のあるデータを持ちながらも、セキュリティリソースが十分でないために今後も標的として狙われるでしょう。

なぜ学校はランサムウェア攻撃を阻止できないのか

学校がランサムウェア攻撃を阻止するのに苦労している理由の一つに、サイバーセキュリティリソースの不足が挙げられます。学校は潜在的なサイバー攻撃に対して適切に備える必要があるものの、予算が限られてしまい十分なセキュリティ対策を実施できていません。アメリカ合衆国にある私立のアイビーリーグに属するハーバード大学の教育大学院の記事でも指摘されているように、教育機関はセキュリティ関連の最新トレンドやテクノロジーに遅れているのが実態です。

サイバー攻撃の防御に加えて、被害後の復旧も大きな課題になっています。ランサムウェア攻撃を受けた学校の多くは身代金を支払うのですが、結局身代金を支払ってもデータの約60%しか戻っていないとされています。

ここまでの問題は教育機関のサイバーセキュリティに関する知識の欠如、予算の不足、サイバーセキュリティ専任の担当者の不在などが背景にあります。被害後の復旧に関しては、データ復旧に関わるコストが極端に高額、もしくは復旧のプロセスが複雑になりすぎていることも要因でしょう。問題解決のためにも、学校のサイバーセキュリティ戦略は根本的な革新が急務といえます。

今すぐ学校の情報セキュリティを守るために

世界有数のクラウドベースのセキュリティソリューションを提供する企業、HornetsecurityのCOOであるDaniel Blank氏によると、教育機関は「マインドセット-スキルセット-ツールセット」のトライアドを採用すべきです。

マインドセット	すべての学生やスタッフに対して、急増するサイバー脅威に対する認識を高めます。サイバーセキュリティは、学校に関わる全ての人の共同責任として捉える必要があるでしょう
スキルセット	サイバー攻撃を想定したトレーニングなどを通じて、潜在的なサイバー脅威に対処する方法の意味を関係者に理解してもらう必要があります
ツールセット	適切なツールを使用すれば、教育機関は機密データの保護、マルウェア攻撃の防止、人為的ミスの削減、脅威の検出と対応などを自動化できます

IIJでは、以下のようなサイバーセキュリティソリューションにより、学校や大学のツールセット強化を支援します。

ゼロトラストアーキテクチャの導入
VPNに代わるセキュアなリモートアクセス
定期的なセキュリティ診断
ネットワーク運用の可視化

サイバー脅威が進化し続ける中、教育機関はコミュニティを保護するための積極的な措置を講じる必要があります。戦略的なアプローチを採用し、IIJのような信頼できるサイバーセキュリティプロバイダーと連携することで、本来の学校の役割である学びの場として機能し、データが安全に保たれるレジリエントなデジタル環境を構築できます。

ご質問やお見積りはこちら