3つの重要なポイント

• フィッシングは学校が認識しているよりも大きな脅威です。 フィッシングを高リスクとみなす学区はわずか 27% ですが、フィッシングはハッカーが K-12 学校をターゲットにする主な手段であり、生徒、職員、データを危険にさらしています。
• 認識と検証が鍵となります。 巧妙な攻撃に引っかからないように、学校の職員にフィッシングメールを見分け、疑わしいリクエストはメールではなく電話やテキストで確認するように指導してください。
• 無料のツールと耐性のある MFA を使用します。 Microsoft 365 や Google Workspace などのプラットフォームにはフィッシングを検出する機能が組み込まれており、PassKeys などのフィッシング耐性のある MFA は、ハッカーが資格情報を盗んだ場合でもハッカーをブロックできます。

フィッシングはK-12（小中高）学校にとって大きな脅威です。特に、多くの学校が真正面から対策を講じる予算や人員を確保していないことが大きな問題となっています。Lightning Chatエピソード6では、Lightspeed Systemsの最高情報セキュリティ責任者（CIO）であるジョン・ジェンター氏と、プリンシパル・アプリケーション・セキュリティ・アーキテクトのブラッド・ホワイト氏が、K-12の学校におけるフィッシングについて語り合いました。サイバーセキュリティ分野で30年以上の協働経験と教育との深い繋がり（ジョン氏は22年間学校評議員を務め、ブラッド氏は教師一家の出身）を持つ二人は、フィッシングが多くの学校が考えるよりも深刻な問題である理由を説明し、実用的で低コストな対策を共有しました。

学校は想像以上にフィッシングの標的になっている

ジョンは、ある驚くべき事実から話を始めた。 CoSNレポート: 「フィッシングを高リスクと認識している学区はわずか27%に過ぎません。」これは大きな見落としです。特に、サイバーセキュリティ・インフラセキュリティ庁（CISA）が「悪意のあるサイバー攻撃者が全国のK-12教育機関を標的にしており、生徒、その家族、教師、そして管理者に壊滅的な影響を与える可能性がある」と述べていることを考えるとなおさらです。ブラッド氏もこれに同意し、「K-12はいくつかの理由から比較的攻撃されやすい標的です」と述べています。なぜでしょうか？その内訳は以下のとおりです。

• 厳しい予算: 学校には、一流のサイバーセキュリティツールを購入する余裕がないことがよくあります。
• 小規模な IT チーム: 人数が減れば、脅威に対処し続けることが難しくなります。
• 間違った考え方: 多くの人は学校を攻撃対象にするのは無意味だと考えているが、ハッカーは学校が簡単に狙える標的であることを知っている。

ジョンは実例を挙げてこう述べました。「ここ数週間だけでも、Lightspeedの従業員をフィッシングしようとした顧客のアカウントが5件も侵害されています。」ブラッドはこれらの攻撃の仕組みについてこう説明しました。「脅威アクターは高度な中間者攻撃を用いて、ユーザーのユーザー名とパスワード、そしてセッショントークンを盗みます。たとえユーザーがMFAを使用していたとしてもです。」これらの攻撃は、ITスタッフや教師など、誰にでも起こり得ます。フィッシング対策が施されていない標準的な多要素認証（MFA）をすり抜けてしまう可能性があります。

学校を狙ったフィッシング攻撃から身を守る簡単で無料の方法

ジョンとブラッドは明言しました。フィッシング対策を始めるのに多額の予算は必要ない、ということです。まずは意識を高めることが第一歩です。ブラッドは簡潔にこう言いました。「最も費用がかからないのは、意識を高めることです。ユーザーがフィッシング攻撃の標的になっていることを、そして予期せぬメールには特に注意する必要があることを、ユーザーに確実に認識させましょう。」ジョンは、ロナルド・レーガン大統領の言葉を借りて、このことを巧みに表現しました。「信頼するが、確認する」、あるいはもっと良い表現は「返信するな、確認するのだ」です。彼らのアドバイスは以下のとおりです。

• 不審なメールを再確認する: リンクをクリックするなど、奇妙な行動を要求してくるメールには返信しないでください。代わりに、送信者に電話するか、テキストメッセージを送ってください。ブラッドは、「脅威アクターが送信者の受信トレイを掌握しているケースも確認されています」と警告しています。
• 全員参加しましょう: 校長から管理者に至るまで、すべてのスタッフが標的になる可能性があること、またフィッシングがどのようなものであるかを認識していることを確認してください。

物事をロックダウンするためのテクニカルトリック

技術面では、フィッシング耐性のあるMFAの導入を強く推奨しました。ブラッド氏は、テキストメッセージによるコードやアプリ通知といった一般的なMFAは「中間者攻撃によって盗まれる可能性がある」と指摘し、代わりに「UVKeysやPassKeysといったFIDOベースのトークン、Windows Helloのような」認証方式を採用するよう勧めました。ジョン氏は、「基本的なMFAでも何もないよりはましだ」と付け加えましたが、フィッシング耐性のあるMFAは画期的なものです。また、Microsoft 365やGoogle Workspaceといったプラットフォームの無料ツールも紹介しました。

• ログに注意してください: メッセージが既読としてマークされ、隠しフォルダーに移動されたり、奇妙な場所からログインされたりといった、異常な電子メール ルールがないか確認します。
• 卑劣な攻撃に注意してください: ブラッド氏は、「一度アクセスすると、攻撃者はユーザーの行動を観察し、近くにマシンを設置するだろう」と指摘し、不正ログインを見つけるのは困難になると述べた。

最小権限でフィッシング被害を制限

もう一つの重要なアイデアは、ハッキングされた場合の被害を軽減するためにアクセスを制限することでした。ブラッドは「ただ単にすべてへのアクセスを許可するのではなく、必要なものだけへのアクセスを許可しましょう」と述べました。ジョンはこれを潜水艦に例え、「一部に侵入があっても、潜水艦全体が沈没することはありません」と述べました。具体的な方法は次のとおりです。

• 必要十分なアクセス権を付与します。 Office 365 または Google Workspace では、スタッフが SharePoint や Teams ではなく、メールや Word などの必要なツールのみを使用できるようにします。
• 必要に応じて調整します。 誰かの職務が変わった場合は、アクセスを更新して、作業を遅らせることなく安全性を維持します。

短く頻繁なトレーニングは長い講義に勝る

年に1回の1時間のトレーニングセッションはもう終わりにしましょう。ジョンとブラッドは、短くて定期的なリマインダーの方が効果的だと言いました。ジョンはLightspeedがニュースレターで「今週のヒント」を提供していることを紹介し、ブラッドは全員の注意力を維持するために「短くて定期的なコミュニケーション」というアイデアを気に入りました。彼らは次のように提案しました。

• 毎週の更新: 「現在何が起きているのか、他の K-12 組織が侵害された事例のリンクをいくつか紹介します」などの実際の例を記載した簡単なメールを送信します。
• レポートを簡単に作成: スタッフに、判断せずに奇妙な電子メールにすぐにフラグを立てるように促します。

まとめ: フィッシングには注意しましょう

ブラッドの最後の言葉は率直だった。「ユーザーがフィッシングの標的になっていることを確実に認識させましょう。彼らは間違いなくフィッシングの標的です。100%」。彼は、学生以外のアカウントには、ほとんどのデバイスで使用できるパスキーの使用を強く勧めた。ジョンは、CoSNレポートとCISAのウェブサイトでさらに詳しいアドバイスを確認することを提案した。

フィッシングは大企業だけの問題ではありません。学校にも大きな打撃を与えています。意識啓発、フィッシング対策に強いMFAの導入、無料ツールの活用など、学校はリスクを大幅に軽減できます。ライトニングチャットエピソード6でジョンとブラッドが示したように、賢く低コストな対策をいくつか講じることで、生徒、職員、そしてデータを守ることができます。 全エピソードを見る そして警戒を怠らないでください!