いよいよ新学期が近づいてきました。今年は最新の新型コロナ感染症対策のガイダンスにしたがって生徒、親、教師ともに健康を守っていくことが大切です。それとともに大切なのが、オンラインで安全に過ごすためにサイバーセキュリティの基本的な衛生管理を忘れないことです。

学校で稼働している機器やソフトウェアには古いものが少なくありません。そのぶん、システムの更新が難しく、サイバー攻撃による影響も受けやすくなっています。また手持ちのデバイスを扱うとき、サイバーセキュリティのベストプラクティスを守らない生徒や保護者、教師も少なくありません。これらがさらに状況を悪化させ、サイバー犯罪者が教育機関に大きな損害を与える土壌をつくりだしてしまっています。

パロアルトネットワークスの直近のデータによると、教育業界をターゲットにしたフィッシングURL（個人情報を盗むために偽のWebサイトにユーザーを誘導するURL）が占めるトラフィックの割合は、世界的に6月には47％の増加、7月には27％の増加となっていました。サイバー犯罪者が新学期を前に攻撃を強化している様子がうかがえます。

安全に新学期を迎えるための3つのアドバイス

1. アカウントやデバイスごとに異なるパスワードを使用しよう

パスワードは誰もが苦労しているセキュリティベストプラクティスです。SecureAuthの2020年のレポートによると、53%の人が「複数のアカウントで同じパスワードを使いまわしている」と認めているそうです。でもこれが結局、サイバー犯罪者によるアカウント乗っ取りや個人情報の窃取をやりやすくしてしまっています。

このパスワードの使いまわし問題は教室でもよく見られるもので、たとえば筆者が知っている範囲でも、先生がストリーミングサービスのパスワードを教室内で共有していた例があります。パスワードを共有してしまうと、それをサイバー犯罪者が悪用する可能性がありますし、同じ電子メールアドレスとパスワードを使いまわしていれば、その認証情報が盗まれたときには他のオンラインサービスのアカウントも危険にさらしかねません。

すべてのアカウントとデバイスに強力なユーザー名とパスワードを設定し、それらを一括でパスワードマネージャーで管理するようにしましょう。そのうえで、パスワードマネージャー自体に強力なユーザー名とパスワードを設定し、「2要素認証」も必ず有効にしましょう。「2要素認証」というのは「自分が知っているもの（知識情報の要素。たとえばパスワード）」と「自分が持っているもの（所有の要素。たとえばデバイス）」など、みなさんの身元を確認するにあたって2つの方法を求めることでセキュリティを強めています。2要素認証は、弱い認証情報や盗まれた認証情報を悪用するサイバー犯罪者からログインを保護してくれます。2要素認証を有効にすれば、パスワードマネージャーが保持する個人情報のセキュリティをもう一段強化することができます。

2. 自分の学区のサイバー衛生状況を積極的に確認しておこう

全国的に学区を狙うサイバー攻撃が横行しています。ですから、ご自身の学区が子どものプライバシーを保護しているかどうか、サイバー犯罪者が子どもの教育を妨害しないように対策を講じているかどうかを把握しておくことが大切です。

昨年、連邦捜査局（FBI）、国土安全保障省（DHS）、多州間情報・共有分析センター（MS-ISAC）は、学校に対するランサムウェア攻撃、分散型サービス拒否攻撃（DDoS）、ビデオ会議の混乱について警告する共同勧告を公開しました。予算が限られている学校はサイバーセキュリティ対策がきわめて脆弱なところも少なくなく、サイバー犯罪者はそうした状況につけこんできます。

とくにランサムウェアは世界的な危機となっていて、とりわけ教育分野はよく狙われています。ランサムウェアの影響を受けている学校は多く、あるケースでは、サイバー犯罪者が生徒や教師の個人情報をオンラインに掲載しない見返りに4,000万ドルを要求したこともあります。

生徒の個人情報はサイバー犯罪者にとってとくに貴重です。子どもや親は、自分たちのIDを使って誰かが詐欺を働いていることに気づく可能性が低いからです。親が子ども名義で銀行口座を開いていなければなおさらで、その場合は注意喚起すらできません。

ですから、ご自身の学区がサイバー脅威に対してどのような対策をとっているのかをきちんと確認しておきましょう。ご子息の通う学校は、子どもの情報やインフラを守るためにサイバーセキュリティソリューションに投資をしているでしょうか。生徒や教師を対象としたトレーニングを行ってセキュリティ問題の啓発を行っているでしょうか。ご自身の学区のサイバーセキュリティ対策についてはたくさん知っておくにこしたことはありません。

3. 子どもたちは技術には詳しくてもサイバーセキュリティに詳しいわけではないことを認識しよう

現代の子どもたちはデジタルネイティブで、画面でものをみることやソーシャルメディアを扱うことに慣れています。こうした最新のテクノロジやプラットフォームに親がついていくのはなかなかにきびしく、2020年度のPew Research Centerの調査では66％の親が「20年前と比べて現在の子育ては難しい」と答えています。その理由として多くの親が挙げたのが「テクノロジ」なのだそうです。

ですのでぜひ、子どもたちの使うデバイスや学習プラットフォームに慣れるように努力してください。とくにペアレンタルコントロールやプライバシー設定の方法はよく知っておいてください。子どもたちはそうしたコントロールをかいくぐる術を身に着けていますから、彼らがアクセスしているコンテンツには常に用心してかかりましょう。

子どもたちは、技術力は高くても、セキュリティベストプラクティスへの意識は低い傾向があります。ですから前述の強力なパスワードの使用のほかに、2要素認証を有効にすること、フィッシング詐欺の見分けかたを知ること、最新のソフトウェア修正プログラムをインストールすること、Webカメラは使用していないときはなにかで覆っておくこと、公共のWi-Fiネットワークの使用を避けることなど、子どもたちとデバイスについて、基本的なサイバーセキュリティ衛生が実践されていることをしっかり確認してください。

きっとみなさんはご家庭で子どもたちに「知らない人に話しかけちゃダメ」「車に乗ったら必ずシートベルト」などの基本の安全対策を教えていることと思います。おなじように、基本となるオンラインでの安全対策を教えて、ご家庭や教室でのデジタルライフを守っていくことが大切です。

このほかのデジタルホームの安全性に関するアドバイスは「ランサムウェア攻撃を阻止するUnit 42からのサイバーセキュリティアドバイス」「2020年の年末セール時期を安全に乗り切るUnit 42からのサイバーセキュリティアドバイス」、「2020年版ご家庭CIO向けサイバーセキュリティアドバイス」も合わせて参考にしてください。

As we gear up for a return to school, aligned with the latest COVID-19 guidance to keep students, their parents and teachers healthy, it’s also critical to remember to practice basic cybersecurity hygiene to stay safe online. 

School districts tend to run older equipment and older software, which means that they’re more susceptible to cyberattacks since legacy systems are more difficult to update. Compounding this problem, many students, parents and teachers are not following cybersecurity best practices with their devices. This creates potential for hackers to wreak havoc on educational institutions. 

New data from Palo Alto Networks reveals that the percentage of traffic from phishing URLs (which direct users to fake websites to steal personal information) targeting the education industry globally increased 47% in June and 27% in July, which shows that hackers are ramping up their attacks ahead of back to school season.

3 Tips for a Safe Return to School

1. Use different passwords for different accounts and devices.

This is a security best practice that everyone struggles with. A 2020 report by SecureAuth revealed that 53% of people admit they reuse the same password for multiple accounts, which makes it easy for hackers to hijack accounts and steal personal information.

This is a common problem at schools. For example, I’ve seen instances where teachers share passwords for streaming services in the classroom. This type of password sharing can be exploited by hackers to steal credentials and potentially compromise accounts for other online services if the same email and password is being used.

Use a strong username and password for every account and device, then use a password manager to keep track of everything. From there, use a strong username and password for the password manager itself and make sure to enable two-factor authentication (2FA) as well. Two-factor authentication strengthens security by requiring two methods to verify your identity, such as something you know (for example, a password) and something you have (for example, a device). Two-factor authentication secures your logins from hackers, who exploit weak or stolen credentials. With 2FA enabled, the password manager has an added layer of security for the personal information it holds.

2. Get involved: Make sure your school district is prepared.

With cyberattacks running rampant against school districts across the country, it’s important to be aware of whether your school district is protecting your child’s privacy and taking steps to prevent hackers from disrupting their education.

Last year, the Federal Bureau of Investigation (FBI), Department of Homeland Security (DHS) and the Multi-State Information Sharing and Analysis Center (MS-ISAC) issued a joint advisory warning of ransomware attacks, Distributed Denial-of-Service Attacks (DDoS) and video conference disruptions against schools. With limited cybersecurity defenses due to scarce budgets, schools are often extremely vulnerable and hackers are taking advantage.

Ransomware, in particular, has become a global crisis, with education a heavily targeted sectors. There are many examples of schools being impacted because of ransomware; in one case, hackers demanded $40 million to avoid posting students’ and teachers’ personal information online.

Students’ personal information is especially valuable for hackers because children and their parents are less likely to notice that someone is using their identity to commit fraud, especially if they don’t have a bank account in the child’s name to alert them.

Ask your school district what they’re doing to protect against cyberthreats. Are they investing in cybersecurity solutions to protect their infrastructure and your child’s information? Are they raising awareness on security issues with training for students and teachers? The more you can learn about your school district’s cybersecurity preparedness, the better.

3. Recognize that your children are tech savvy, but not cyber savvy.

Today’s children are growing up in the digital age of screens and social media, and it can be difficult as a parent to keep pace with the latest technologies and platforms. According to a 2020 Pew Research Center survey, 66% of parents say that parenting is harder today than it was 20 years ago with many citing technology as a reason why.

Familiarize yourself with your children’s devices and learning platforms, particularly with how to configure parental controls and privacy settings. Children know the workarounds, so you’ll need to be vigilant about the content they have access to.

That said, children are less likely to be aware of security best practices. Make sure that you're practicing basic cybersecurity hygiene with your children and their devices, including enabling 2FA, knowing how to spot a phishing scam, installing the latest software patches, covering up webcams when they’re not in use, avoiding the use of public Wi-Fi networks and, as mentioned previously, using strong passwords.

Children are taught basic safety tips like not talking to strangers and fastening their seat belts in the car. It’s critical to also teach them basic online-safety tips to protect their digital way of life – at home and in the classroom.

For more tips on digital home safety, see “Cybersecurity Tips From Unit 42 to Help Stop Ransomware Attacks,” “Cybersecurity Tips From Unit 42 for the 2020 Holiday Shopping Season” and “Cybersecurity Tips From Unit 42 for the Household CIO of 2020.”