#972 県立高校利用の教育支援サービスの DB に不正アクセス、データ持ち出しの可能性

今回は、長野県の県立高校が利用していた教育支援サービスへの不正アクセスについて詳しく解説します。このニュースからは、学校が外部サービスを利用する際にどのようなリスクが潜んでいるのか、そして、単なる連絡先だけでなく心理的なデータが流出することの深刻さを学ぶことができます。また、インシデント発生時の初動対応や情報の周知についても触れていきますので、組織のＩＴ担当者の方は、サプライチェーンにおけるセキュリティ管理の重要性を再認識する機会にしていただければと思います。さらに、個人情報を扱うデータベースがいかに標的になりやすいかについても考えていきましょう。

今回の事案は、長野県の県立高校一校が独自に導入していた、ある教育支援サービスのデータベースが外部からの不正アクセスを受けたものです。事象の発生は十二月二日の未明で、サービス提供企業が異常を確認しました。その後、十二月五日には同校に対し、登録データが外部に持ち出された可能性があるという報告がなされました。対象となるのは三年生二百七十四名の二カ年分のデータで、氏名や性別、メールアドレス、ログインＩＤに加え、生徒の自己肯定感や社会性を把握するためのアンケート回答、さらに接続ログなどの情報が含まれています。現在は外部の専門機関と連携して調査が進められており、提供企業はセキュリティの強化を順次実施しています。学校側はすでに生徒や保護者への説明を済ませており、県教育委員会は再発防止策の徹底を求めている状況です。

教育支援サービスとは、生徒の学習状況の管理や心理状態の可視化、先生との連絡などをデジタル化するツールのことです。そのデータを一括して保管している場所がデータベースです。今回のケースでは、生徒が日々のアンケートに入力した回答や、システムにログインするための大切なアカウント情報などが、この箱のような場所にまとめて保管されていました。ここが攻撃を受けると、今回のように多くの生徒の大切な個人情報が、一度に外部へ漏えいしてしまうリスクがあるため、非常に厳重な管理が求められる場所と言えます。

一般的にこうした不正アクセスは、サーバーの動作が急に重くなったり、見慣れない不審な通信ログが記録されたりすることで検知されます。今回の事案でも、十二月二日の未明にシステム上の異常を検知したことが調査のきっかけとなっています。不正アクセスの多くは、深夜などの管理者が手薄になる時間帯を狙って行われることが多いため、システムによる自動的な監視体制が機能していたことが推測されます。ただし、検知した時点ですでにデータが持ち出されている可能性が高いという点が、この種の攻撃の非常に恐ろしい部分なのです。

これらは心理状態に関するデータであり、非常にプライバシー性の高い情報です。氏名やアドレスなどの形式的な情報とは異なり、生徒一人ひとりの内面的な悩みや性格の傾向、精神的なコンディションなどが含まれているため、悪用されると深刻な二次被害につながる恐れがあります。例えば、その情報を元にした巧妙なフィッシング詐欺や、精神的な弱みに付け込むような嫌がらせ、あるいは将来的な就職活動における差別的な扱いに繋がる懸念も否定できません。そのため、通常の個人情報以上に慎重な取り扱いと、強固な保護が求められます。

12月2日に異常を検知し、5日に学校へ報告、即日生徒や保護者へ連絡という流れは、比較的迅速な対応であったと言えます。インシデントが発生した際、まずは何が起きたのかという事実関係を正確に把握する必要があり、それには一定の時間がかかります。しかし、曖昧なまま放置せず、被害の可能性がある段階で速やかに関係者へ周知したことは、さらなる被害拡大を防ぐための適切な判断だったと考えられます。特にパスワードなどのアカウント情報が含まれていた場合、二次被害を防ぐために利用者側ですぐに対処してもらう必要があるからです。

最も重要なのは、委託先企業のセキュリティ体制を事前に、かつ継続的に評価することです。サービスを導入して終わりにするのではなく、データベースのアクセス制限が適切か、通信は暗号化されているか、多要素認証が導入されているかといった項目を定期的にチェックする仕組みが必要です。また、万が一の漏えいに備え、必要最小限のデータのみを保存するように運用を見直すことも有効です。攻撃を完全に防ぐことは難しいため、今回のように早期に発見して迅速に公表できる体制を整えておくことも、信頼回復のための重要な防御策となります。