【セキュリティ】教育機関に潜むセキュリティリスク -意図しない固定IP・グローバルIPアドレスがもたらす脅威

――――――

 近年、教育機関を狙ったサイバー攻撃が急増し、その被害は年々深刻化しています。特に大学などの高等教育機関では、過去の多数のサイバー攻撃事例から、固定IPアドレスやグローバルIPアドレスが攻撃の入口として広く利用されていることが考えられます。 これらがセキュリティ上の重大な脆弱性となり、多くの被害報告が相次いでいます。

 本稿では、教育機関がなぜ標的になりやすいのか、意図しない固定IPアドレスやグローバルIPアドレスの利用が招く具体的なセキュリティリスクを深掘りし、実際に発生した具体的な被害事例を交えながら、その実態を体系的に分析していきます。

――――――

大学がサイバー攻撃の格好の標的となる理由は、以下の4つが挙げられます。

大学は、最先端の研究成果、学生の個人情報、知的財産など、多種多様な高価値な情報資産を保有しています。これらの情報は、企業にとっての貴重な情報源であり、サイバー犯罪者にとっても大きな利益をもたらす可能性があります。

大学のネットワークは、研究活動の活性化のため、外部との連携が密接であり、かつ内部では多様なシステムが接続されています。また、インターネット黎明期には学内ネットワークの利用が推奨される反面、ガバナンスについては追いついていない、良くも悪くも「自由」なネットワークリソース利用環境にあります。この複雑なネットワーク環境は、セキュリティ対策を困難にし、攻撃者の侵入経路となりやすいという特徴があります。

大学は、研究活動の自由度を重んじる傾向があり、厳格なセキュリティ対策が実施されにくい側面があります。このような環境の中で、ガバナンスを徹底することは困難であり、また、限られた予算の中で、最新のセキュリティ対策を維持することは容易ではありません。

大学のネットワークの中には、インターネット黎明期からある、管理部門の把握外で運用されている「野良サーバー」が存在することがあります。これらのサーバーは、セキュリティ対策が不十分な場合が多く、攻撃者の侵入経路となりやすいリスクがあります。

 固定IPアドレスの最大の問題点は、攻撃者による標的の特定と継続的な攻撃を容易にすることです。IPアドレスが変更されないため、攻撃者は時間をかけてネットワークの構造を把握し、脆弱性を探り、攻撃の準備を進めることができます。特に、自動化された攻撃ツールやボットによる継続的な攻撃の標的となりやすく、ブルートフォース攻撃やポートスキャンなどの持続的な攻撃にさらされる危険性が高まります。

 2.1.1 継続的な監視

     常に同じIPアドレスであるため、攻撃者は長期間にわたりシステムを監視し、脆弱性を特定することができます。

 2.1.2 スキャン攻撃

     ポートスキャンや脆弱性スキャンが繰り返し実行され、システムの穴を探られます。

 2.1.3 ブルートフォース攻撃

     パスワードの総当たり攻撃が長期間にわたり行われ、不正アクセスを試みられます。

 2.1.4 情報収集

     WHOISデータベースなどから組織の情報が収集され、標的型攻撃に利用されます。

 グローバルIPアドレスが割り当てられたシステムは、インターネットから直接アクセス可能な状態となるため、常に攻撃の危険にさらされることになります。特に問題となるのは、DDoS攻撃やSQLインジェクション、クロスサイトスクリプティングなどの直接的な攻撃に対して脆弱になることです。

 2.2.1 直接的な攻撃

 DDoS攻撃、SQLインジェクションなど、直接的な攻撃を受けやすく、システムの機能停止や情報漏洩に繋がります。

 2.2.2 マルウェア感染

 フィッシング攻撃など、様々な経路からマルウェアに感染し、システムが乗っ取られる可能性があります。

 2.2.3 情報漏洩

 不正アクセスによるデータの窃取、設定ミスによる情報の意図しない公開などが発生するリスクがあります。

 2.2.4 踏み台化

 他のシステムへの攻撃の踏み台として悪用される可能性があります。

大学の実際の被害事例です。本稿で紹介する事例は一部であり、多くの事例が存在しています。

研究室の計算用サーバが海外からの不正アクセスを受け、攻撃の踏み台として利用されていたことが判明しました。外部機関からの通報を受けて調査した結果、サーバに設定された弱いパスワードが原因で不正ログインを許していたことが確認されました。大学はサーバを遮断し、情報漏洩は確認されていないと発表しています。

研究室が管理する数値計算用に運用していたサーバーが不正アクセスを受け、他機関への攻撃の踏み台として利用されていたことが判明しました。サーバーには機密情報や個人情報は含まれていないとされています。

教職課程の履修支援システムのサーバーが、外部からの不正なネットワーク攻撃を受けたことにより、2009年以降の卒業生を含む約4,100人の氏名やメールアドレスなどの個人情報が流出した可能性があると発表しました。

工学部ウェブサーバが第三者からの不正アクセスを受け、工学系部局のみを対象として稼働しているデータベースに保存されていた個人情報が流出した可能性があると発表しました。

研究室のホームページが不正アクセスを受け、サーバー内の一部が改ざんされ、約380人分の氏名やメールアドレスなどの個人情報が流出した可能性があると発表しました。外部からの通報で発覚し、大学は該当サーバー内の全ホームページを閉鎖しました。

教育機関におけるIPv4アドレスのセキュリティリスクは、技術的な側面だけでなく、組織運営の多岐にわたる側面と密接に関連しており、より複雑な課題となっています。各大学の事例において、直接的にIPアドレスが原因と明記されているわけではありませんが、固定IPアドレスやグローバルIPアドレスの意図しない利用がセキュリティリスクを高める一因となっている可能性が示唆されます。これらのリスクが、教育機関の運営における大きな課題であることに変わりはありません。

近年の事例からも明らかなように、情報漏洩のリスクは、教育機関の安全な運営を脅かす現実的な問題です。今後は、セキュリティ対策への投資を強化するとともに、組織全体でセキュリティ意識を高め、効果的な対策の実施が求められます。

その際に、固定IPアドレス・グローバルIPアドレスの利用を極小化することで、侵入経路を限定し、より効果的なセキュリティ対策を施すことが重要です。

教育機関は、学術研究や教育活動を通じて社会に貢献する重要な役割を担っています。これらの活動を維持しながら、いかにしてセキュリティを確保していくかが、今後の大きな課題となるでしょう。

—-
著者プロフィール
三輪 佑太
GMOブランドセキュリティ株式会社 マーケティング&サービスストラテジ本部に所属し、サービス開発および「BRANDTODAY byGMO」の記事作成を担当。
入社当初は営業部に所属し、前職の通信業界の知的財産部での経験を活かして、お客様との関係構築やニーズの理解に注力。
現在は、BIMI/VMCといったメール認証技術に強い関心を持ち、日々学びを深めている。