Malwarebytesは1月15日(米国時間)、「Multiple schools hit by Vice Society ransomware attack」において、英国で複数の学校がランサムウェア攻撃の被害に遭ったと伝えた。「Vice Society」と呼ばれるサイバー攻撃グループによって14校がサイバー攻撃を受け、複数の文書がネット上に流出したことが明らかとなった。
英国のPates Grammar Schoolは、2022年9月28日前後にサイバー攻撃されたことが判明している。2022年10月14日頃にデータが盗まれたことに気づき、保護者に通知。法執行機関と連携して調査を進めていると報告されている。
Vice Societyは学校を標的にすることで知られており、今回のケースでは最終的にデータが流出する恐れがあったにもかかわらず、学校側が身代金の要求に応じなかっために起きた事件とみられている。具体的に流出したデータには、職員に提示された契約書や校長の給与および奨学金受給者などが含まれていたという。
教育機関に対するサイバー攻撃は盛んに行われており、ランサムウェアの格好の標的となっている。多くの教育機関でIT専門の部署やチームが設置されておらず、サイバーセキュリティに予算が割かれないため、ターゲットにされやすい。また被害があった場合、学生への影響も大きく、教材へのアクセス不能、試験の中止、さらには学校の全面閉鎖といった事態が発生する可能性さえあると述べられている。
事件では身代金の要求を拒否したため、データが流出したと報告されている。しかしながら、ランサムウェアグループに身代金を支払ったとしても窃取されたデータが安全に取り扱われるとは限らない。ランサムウェアの被害に遭ったとしてもサイバー犯罪者側からの金銭の要求に対して支払いを拒否することが重要とされている。
ランサムウェア攻撃による被害を食い止めるため、データのバックアップや緊急時の対策を立てておくこと、使用しているITテクノロジーを適切に管理することなどの緩和策を実施しておくことが望まれている。