UEBAで脅威と戦う：教育機関

この4部構成のシリーズでは、医療、金融、製造、教育の4つの業界で実際に発生したサイバー攻撃を想定して、その実態に迫ります。このシリーズでは、予期しないセキュリティ攻撃のシナリオを取り上げ、UEBA（User and Entity Behavior Analytics）を活用して組織を保護する方策を探ります。シリーズ第4回目の今回は、教育機関を脅かすサイバー攻撃についてです。

教育機関は、他企業ほど資金力がなく、利用者の多くは若い学生であるため、一見するとサイバー攻撃の典型的なターゲットにはなりにくいように思われます。しかし、よくよく考えてみると、教育機関は、機密データを盗み出そうとするサイバー犯罪者にとって、有利な一角を占める存在なのです。

教育機関には、在籍する学生の氏名、住所、社会保障番号、財務内容、さらには重大な医療状況など、個人情報が大量に保管されています。また、多くの高等教育機関が政府機関や民間企業と連携して研究を進めている今日、地政学的な動機による国家ぐるみのサイバー攻撃は避けられない脅威となっています。

教育機関のITセキュリティ管理者は、24時間体制で保護が必要な多様なデバイスや資産からなる、困難な環境で業務を行っています。ここでは、教育機関を脅かす可能性のある脅威と、その対策としてUEBAがどのような役割を果たせるかについて説明します。

ランサムウェアで機能不全

グリーンデール・コミュニティー・カレッジでは、ペンと紙を使って評価を行い、教授が学生の出席を手作業で採点し、図書館員が学生の本の場所を確認するために通路を駆け巡っている、まるで90年代のような状況でした。大規模なランサムウェアの攻撃により、グリーンデール大学のネットワークは機能不全に陥り、大学はインターネット以前に逆戻りしてしまったのです。

ランサムウェアの攻撃により、グリーンデール・コミュニティー・カレッジのネットワークがシャットダウン

グリーンデール大学は、「マルバタイジング」キャンペーンの餌食となり、進化型ランサムウェアを組織内のネットワークに持ち込まれてしまいました。「マルバタイジング」とは、ハッカーがオンライン広告の中にマルウェアを仕込んでコンピュータに感染させる手法のことです。同校のユーザーがこの不正広告をクリックすると、別のURLにリダイレクトされ、そこからユーザーが知らない間にランサムウェアがダウンロードされ、攻撃者にネットワークへのアクセスを許してしまいました。攻撃者は、一度アクセスすると、弱いパスワードや安全でないハードウェアを持つ共有リソースをスキャンし、そこからネットワーク内で横方向に移動し、最終的にシステムを停止させるまでに至ったのです。

グリーンデール大学では身代金を支払わないことを決定し、システムの復旧に向けて懸命に作業を進めていますが、もし同大学がUEBAソリューションを利用してネットワークを保護していれば、この災難を完全に防ぐことができたかもしれません。UEBAは、マルウェアが最初の被害者のコンピュータの多数のファイルに変更を加え始めたときに、そのパターンとカウントの異常を発見し、IT管理者に警告を発して是正措置を取ることができたはずでした。このデバイスは大学のネットワークから簡単に隔離することができ、感染の拡大を食い止め、被害を最小限に抑えることができたはずです。

個人情報を狙うフィッシング

ライアン・デミングは、米国で最も定評のある全寮制私立学校のひとつであるブルックフィールド・アカデミーの入学審査担当者です。7月下旬の入学試験のピーク時に、ライアンのもとに「合格通知 – 登録」という件名のメールが届き、そこには学校のポータルサイトで入学通知を受け取る方法についての質問が書かれていました。ライアンは、これがスピアフィッシング攻撃であることに気づきません。

攻撃者はスピアフィッシングを利用して、学校の重要なデータベースにアクセスする。

このメールを開くと、メール経由で攻撃者にデータを配線できるマルウェアが埋め込まれ、ライアンのシステムにダウンロードさ れました。マルウェアは、PowerShellで多数のコマンドを実行し、学生情報を含むデータベースにアクセスし始めました。学生の個人を特定できる情報、学歴証明書のコピー、病歴などを含むこの機密データベースは、なりすましや恐喝、あるいは組織犯罪の実行に利用される可能性があるのです。

幸運なことに、ブルックフィールド大学のUEBAソリューションは、コピーされたデータファイルをサイバー攻撃者のコマンド＆コントロール（C&C）サーバーにメールで送信する前に、マルウェアによるデータ奪取の企てを回避することに成功しました。UEBAソリューションは、生徒のデータベースにアクセスしてコピーするために連続して実行された複数のPowerShellコマンドレットを発見すると、ライアンのコンピュータのリスクスコアを大幅に引き上げ、学校のサイバーセキュリティ担当者に警告を発して攻撃の防止に貢献しました。

トロイの木馬

多くの教育機関では、不正なサイトやアプリケーションへのアクセスを防ぐため、インターネットの利用を制限しています。国内有数の研究機関であるハドソン大学は、高い研究成果で知られ、最近では再生治療の革新性を打ち立てています。複数の製薬会社が、同大学が保有する研究手法や研究成果を手に入れようと、知的財産の窃盗の格好のターゲットになっていたのです。

生命科学部の学部生であるサマンサ・フェルナンドは、学部のネットワークへのアクセスを狙うサイバー犯罪者に気づかず、ブロックされたウェブページにアクセスするために、不確かなソースから仮想プライベートネットワーク（VPN）をダウンロードしてしまいます。このVPNは元々トロイの木馬型マルウェアで、ネットワーク内を横方向に移動し、研究ファイルを格納するサーバーにアクセスし、犯罪者のC&Cサーバーにファイルを転送するようプログラムされていました。このとき不幸にも、サマンサが侵入のきっかけとなり、ネットワーク全体が危険にさらされることになりました。

VPNを装ったトロイの木馬型マルウェアがサイバー犯罪者に利用され、大学のネットワークに侵入される。

しかし、犯罪者は研究ファイルの窃盗を成し遂げることはできませんでした。同大学が採用したUEBAソリューションは、ネットワーク上で突然、異常な数のポートスキャンイベントが発生していることを発見し、イベントの発生元となるエンティティのリスクスコアを引き上げました。ネットワークに接続されている多数のエンティティのリスクスコアが突然上昇したため、ネットワーク管理者は疑わしい活動を検知し、インシデントを調査してマルウェアを除去し、マルウェアが重要なサーバに到達する前に 効果的に侵入を阻止することができました。

多くの学校や大学では、学生へのサイバーセキュリティ教育には力を入れていますが、その原則を校内のネットワークで実施するに至っていないのが現状です。この分野では、サイバー攻撃の数と勢いが著しく増大しているため、適切なサイバーセキュリティ対策を実施していない教育機関は、警戒する必要があります。

UEBAのような高性能のセキュリティ・ソリューションを活用することで、大学およびその関係者を危険にさらす様々なサイバー攻撃からネットワークを保護することができます。

【連載】UEBAで脅威と戦う

• 医療保険業界
• 金融業界
• 製造業界
• 教育機関

UEBAの関連記事

• 会社を守る脅威インテリジェンス「UEBA（User and Entity Behavior Analyics）」とは？
• UEBA（User and Entity Behavior Analytics）を大解体！