市内小中学校の校務ネットワークに対する不正アクセスについて （第2報）

　7月17日に発生した校務ネットワークに対する不正アクセスの調査結果と、判明した事実についてお知らせします。

　7月17日（日曜日）午前3時30分に、市の委託事業者がサーバーの疎通ができないことを確認しました。市と委託事業者が調査を行ったところ、ランサムウェア攻撃を受けたことが判明しました。市ではこれまで、応急的な対応として、校務ネットワークで使用する機器の初期化とセットアップを行い、復旧を進めてきました。現在は、校務ネットワークが利用可能な状態になっていますが、インターネットには接続していません。

　サーバーの被害状況からLock Bit 3.0の攻撃によるものと判明しました。侵入経路はSSL-VPN装置への不正ログインが確認されています。攻撃者はSSL-VPN装置の管理者アカウントのID／パスワードを使用し、校務ネットワークに侵入したのち、各種サーバーにランサムウェア攻撃を実行しています。SSL-VPN装置の管理者アカウントのID／パスワードがどのように特定されたかは、残っているログから特定できませんでした。
　ファイヤーウォールのログ調査から、サーバーに格納されている教職員の人事に関すること、教育活動の記録をはじめ、児童・生徒の個人情報などの情報が搾取（流出）されている可能性は低いと考えています。また、本件に関するダークネットサイトへの公開は確認されていません。

　不正アクセスの起点となったSSL-VPN装置は使用しない方針です。また、暗号化された情報の復元は困難と考えています。
　今後、不正アクセスの防止強化を図るため、高度な情報セキュリティ対策の導入を進めていきます。