学校での内部犯行、原因の半数以上は“生徒”だった：遊びが犯罪行為にエスカレート

英国の学校で報告された内部関係者によるデータ侵害のうち、過半数である57％は就学者によるものだった。単なるいたずらでは済まされない、その危険な動機を、実際の報告例とともに掘り下げる。

[Alex Scroxton，TechTarget]

　英国のデータ保護機関である情報コミッショナーオフィス（ICO）によると、同国内の学校で発生するサイバー攻撃は、就学者が悪意、大半は遊び半分の行為がきっかけになっている。ICOは、こうした行為が本格的なサイバー犯罪につながりかねないと警告している。

“ただの遊び”から始まるサイバー犯罪

併せて読みたいお薦め記事

子どもとサイバー犯罪

• 何が“普通の若者”を「サイバー犯罪」に走らせるのか？
• “ほとんどの世代”には想像し難い「若年層ハッカー」が増える理由

　ICOは、2022年1月から2024年8月にかけて英国内の教育機関から報告された、215件の内部関係者によるデータ侵害を調査した。その結果、57％が就学者によるものであり、全体の30％を占めるログイン情報の窃取による侵害では、その97％に就学者が関与していたことが判明した。

　この警告をICOが発した背景には、10代の若者が所属する英語圏の犯罪集団の存在がある。これらはもともと「Scattered Spider」「ShinyHunters」「Lapsus$」といった個別の集団だったが、最近は互いに連携し、活発にサイバー犯罪を繰り返していた。2025年にも、英国の大手小売業者Marks & Spencerへの攻撃や、自動車メーカーJaguar Land Roverへの攻撃などに関与したとみられる。

　調査報告内で、ICOは英国家犯罪対策庁（NCA）が2024年に発表した報告を引用している。NCAによると、英国内の10〜16歳の20％が何らかのオンラインでの違法行為に関与し、特に14歳の5％は明確なハッキング行為に及んでいた。わずか7歳の少年が、デジタル犯罪防止プログラム「Cyber Choices」の対象になった事例もあるという。

　ICOの主任サイバー専門家であるヘザー・トゥーミー氏は、教育現場が数々のサイバー攻撃にさらされている一方、内部脅威への理解と対策は依然として乏しいことに言及する。「内部関係者による脅威が、将来の深刻な被害や犯罪行為につながるケースは増加傾向にある。学校での度胸試しや遊び半分で始めたことがエスカレートして、結果的に企業や重要インフラを狙う大規模な攻撃に加担するという結果を招きかねない」と同氏は警鐘を鳴らす。

　トゥーミー氏は続けて、「サイバーセキュリティ分野の専門家は、若者がオンラインで何に興味を持つのかを深く理解し、その才能を犯罪ではなく、法にのっとったやりがいのあるキャリアへと導く責任がある」と語る。

　若者がサイバー攻撃に関与する動機はさまざまだ。度胸試しや仲間内での注目を集めるため、あるいは復讐心やライバル意識から実行する場合もあれば、わずかながら金銭目的のケースもある。

　ICOに報告されたある事例では、義務教育の最終学年である11年生（日本の高校1年生に相当）の生徒3人が、パスワードやセキュリティ対策を破るためのツールをインターネット経由でダウンロードした。その後、1400人以上の生徒データを保持する学校の情報管理システムに不正アクセスした。関与した生徒のうち2人はオンラインのハッキングフォーラムに所属しており、事情聴取に対して3人全員がサイバーセキュリティへの関心を認め、「自分のスキルと知識を試したかった」と供述した。

　より大きな被害をもたらした事例もある。この事件では、ある生徒が自身の所属する教育機関の情報管理システムに侵入し、教職員、在校生、入学志願者の合わせて9000人以上分の個人情報を閲覧、改ざん、削除した。このシステムには、氏名、住所、成績、健康状態や安全確保に関する情報、生活指導の記録、緊急連絡先などが含まれていた。

　2つ目の事例では、生徒は教職員のログイン情報を盗んで情報管理システムに不正アクセスした。一方でICOが215件の内部侵害報告書をさらに詳しく分析したところ、内部侵害の23％は、教職員のデータ保護対策の不備に起因していた。具体的には、デバイスを放置したり、生徒に教職員用のデバイスを使用させたりといったケースがあった。215件の内部侵害のうち、20％は教職員が個人用デバイスにデータを送信したことが原因であり、17％はシステム設定やアクセス管理の不備といった技術的な問題に起因していた。

　内部関係者がセキュリティ対策やネットワーク制御を回避するために専門的な技術を用いたケースは、わずか5％にとどまった。この事実は、基本的なセキュリティ対策を徹底することの重要性をあらためて示している。

解決に向けて

　ICOは学校における内部脅威を抑制するため、英国内の学校に主体的な取り組みの実施を呼び掛けている。具体的には全校的なセキュリティ対策の改善、在校生が安易にサイバー攻撃に関心を持たないようにする環境づくりなどだ。

　学校の管理職に対しては、英国のデータ保護法である「UK GDPR」に関する研修を定期的に実施し、教職員のセキュリティ意識と対策レベルの向上を図るべきだと指摘する。インシデント発生時には、ICOへの報告義務があることもあらためて強調する。

　ICOは保護者に、子どもとの対話の機会を確保するよう求めている。インターネットでどのような活動をしているのかについて定期的に状況を確認し、軽い気持ちでの遊びが犯罪行為にエスカレートする前に、子どもがどのような選択をしているのかを話し合うことが重要だ。Cyber Choicesを活用して、家族が一緒にITへの理解を深め、サイバー犯罪に関与した場合いかに深刻な事態を招き得るのかを学ぶこともできる。