全3008文字
長野の県立高校2校で相次ぎ、パソコンを遠隔操作されるサポート詐欺に遭った。生徒の成績など計1万4231人分の個人情報が流出した恐れがある。パソコンにはインストール制御機能があったが、有効になっていなかった。個人情報保護委員会への報告も遅れ、2024年2月に行政指導を受けた。技術面だけでなく、組織的な安全管理体制にも不備があった。
長野県教育委員会は2024年2月、個人情報保護委員会から行政指導を受けた。長野県では2023年8月から9月にかけて北信地区と東信地区の県立高校2校で相次ぎ「サポート詐欺」に遭い、計1万4231人分の個人情報が漏洩した恐れがある。この中には生徒の成績や進路指導に関する資料も含まれる。
サポート詐欺とはWebブラウザーに偽の警告画面と連絡先を表示して、偽のサポートセンターに電話をかけさせるネット詐欺のことだ。偽のサポート担当者(詐欺師)が電話してきた人のパソコンを言葉巧みに乗っ取り、架空のサポート料金などをだまし取ろうとする。上記2校でも教員が詐欺師に誘導され、遠隔操作ソフトを校務用端末(パソコン)にインストールしてしまった。
問題はこれだけで済まなかった。個人情報保護委員会に事態の詳細を報告する「確報」の提出が遅れた。長野県教育委員会は「報告期限を失念していた」と釈明するが、ずさんな安全管理体制だったといわざるを得ない。この結果、行政指導につながった。なぜこのような事態となってしまったのか。一連の経緯と今後の対策を追った。
サポート詐欺の手口が巧妙化
長野県教育委員会によると、2023年8月の事案が発生したきっかけは教員の携帯電話に届いた料金未払いの連絡だった。示された電話番号を校務用端末で検索すると、トロイの木馬への感染を示す警告画面と連絡先が表示された。その連絡先に電話して指示に従ったところ、校務用端末を遠隔操作された。2023年9月の事案も校務用端末でのネット検索を契機にトロイの木馬への感染を示す警告画面と連絡先が表示され、サポート詐欺に遭ったという。
サポート詐欺はセキュリティーホールなど技術的な穴を突くというより、人間の不注意を狙った攻撃である。サポート詐欺の手口は近年、より巧妙になっている。情報処理推進機構(IPA)の中島尚樹セキュリティセンター普及啓発・振興部相談・支援グループリーダーは「アダルトサイトなどに貼られた広告経由で、詐欺サイトに誘導されるケースは以前からあった。だが最近は、一般的なWebサイトの広告枠にまで、サポート詐欺サイトへ誘導する広告が掲載されるようになっている点が厄介だ」と指摘する。次のページへの遷移ボタンに似せたデザインとなっているなど、業務上の情報収集で閲覧していてもいつの間にかサポート詐欺サイトへ誘導されてしまう。
サポート詐欺のページの作りや誘導手順も、手の込んだものになっている。「まず警告画面が出たり警告音が鳴ったりして利用者の不安をあおる。そこから利用者に『解除したければこの電話番号にかけろ』などと案内する。電話をかけた先でマイクロソフトなどの社員を名乗る詐欺師が登場する。ビデオ通話で偽の社員証を見せて信じ込ませるケースもあるようだ」(IPAの中島氏)。
巧みな誘導で遠隔操作ソフトをインストールさせることに成功すれば、あとは詐欺師が様々な手段で情報を抜き出せる。長野県教育委員会は「調査可能なパソコンの操作ログには情報が流出したという記録はなく、現時点では本事案により情報が流出した事実は確認されていない」としているが、個人情報の流出がなかったと完全には否定できないような状況である。