DDS | DIGITAL DATA SOLUTION INC. DDS | DIGITAL DATA SOLUTION INC. 個人のお客様はこちら
サイバー攻撃

クラッシーの不正アクセス事件の概要・対処法・再発防止策を解説

mteam15 公開日: / 更新日:
クリプトジャッキング

2020年、学校現場で多く利用されていたクラウド型教育プラットフォーム「クラッシー(Classi)」に対して不正アクセスが発生し、約122万人分のID情報と暗号化パスワードが閲覧された可能性があると報じられました。

クラウドサービスは便利である一方、設定不備や認証情報管理の甘さが攻撃の入口となるケースも少なくありません。適切な対応を行うための痕跡が消失する恐れがあるため、早期対応と再発防止策が非常に重要です。

本記事では、クラッシーの不正アクセス事例の概要と、今後の対策として企業や教育機関が取り組むべき防御策・運用方法について解説します。

不正アクセスの調査・証拠保全に強い専門チームが対応中

▶クラウド不正アクセスについて相談する

クラッシー不正アクセスの概要

2020年4月、教育プラットフォーム「クラッシー」において、第三者による不正アクセスが確認されました。攻撃時間はわずか2時間でしたが、影響範囲は非常に大きく、次のような内容が明らかになっています。

クラッシーで起きた不正アクセスの概要
  • 最大122万人分のIDと暗号化されたパスワードが閲覧された可能性
  • 約2,000件の教員紹介文にも閲覧リスクがあった
  • パスワード自体の平文流出はなかったが、全利用者に変更を促した
  • 直ちにサービス一時停止と外部専門業者による対応を実施

クラッシー不正アクセスの発生原因と考えられるリスク要因

明確な侵入手口は公表されていませんが、以下のようなセキュリティ上の脆弱性が攻撃のきっかけになったと考えられます。

発生原因と考えられるリスク要因
  • ID・パスワードの流出または推測されやすいパスワード設定
  • アクセス制限や監査ログの不備による異常検知の遅れ
  • 権限設定ミスやクラウド設定の公開範囲過剰

クラッシーが講じた初動対応

インシデントを受け、Classi社は以下のような措置を講じました。

クラッシーが講じた初動対応
  • サービス一時停止と社内CSIRTによる初動対応
  • 全利用者に対するパスワード変更の呼びかけ
  • 外部セキュリティ専門企業への調査委託
  • 相談窓口の設置と利用者・関係者への情報開示

クラウド不正アクセスを防ぐための対策

クラウド環境における不正アクセスは、設定ミスや認証情報の管理不備など、基本的な対策の徹底不足から発生するケースが少なくありません。ここでは、被害を未然に防ぐために実施すべき代表的な対策を解説します。

不正アクセス防止のための主な対策

強固なパスワード管理と多要素認証の徹底

パスワードの脆弱性は、最も多く狙われるセキュリティリスクの一つです。短く単純なパスワードや使い回しは、総当たり攻撃(ブルートフォース)や漏洩リストによって容易に突破されるため、強固なパスワードの設定と多要素認証の導入が不可欠です。

固なパスワードの設定と多要素認証の導入手順
  • 英大文字・小文字・数字・記号を組み合わせた12文字以上の複雑なパスワードを設定し、推測されにくい構成にする
  • すべての利用者(管理者・従業員・外部委託者含む)に多要素認証(MFA)を必須化し、パスワード単体での突破を防止
  • パスワードの定期的な更新(例:90日以内)を行い、異なるサービス間での使い回しを禁止
  • パスワードマネージャーの導入により、安全かつ効率的にパスワードを管理

クラウド設定とアクセス権限の最小化

ラウド環境では、一時的な対応として許可された設定が放置され、情報漏洩や不正アクセスの原因となるケースが多く見られます。

そのため、クラウドリソースの公開設定とアクセス権限を最小限に抑えることが重要です。

クラウドの公開設定とアクセス権限を最小限にする方法
  • 不要なパブリック設定(例:S3バケットやCloud Storageの全公開、オープンなAPIエンドポイントなど)を確認し、公開対象を業務上必要な範囲に限定
  • IAMロールやポリシーを見直し、利用者やサービスごとに最小限の操作権限を付与する「最小権限の原則(RBAC:Role-Based Access Control)」を適用
  • 設定の定期的な棚卸(レビュー)を実施し、不要な権限・公開設定を削除。構成変更の履歴(例:CloudTrail、Audit Logs)も併せて管理し、異常な操作を追跡可能にする

ログ管理と外部診断の定期実施

セキュリティ対策では、「被害に気づけること」「第三者視点で弱点を把握すること」が重要です。

手順
  • 管理画面のログイン履歴、操作ログ、APIアクセスなどを常時記録・保存し、SIEMや監視ツールによるログ分析を実施
  • ログイン元のIPアドレス、アクセス時間帯、端末情報の異常を自動で検知しアラートを出す仕組みを導入(例:夜間の海外IPアクセスを即通知)
  • 年1回以上のペネトレーションテスト(疑似攻撃による侵入検査)や外部脆弱性診断を実施し、自社で把握していない設定ミス・リスクを可視化
  • セキュリティベンダーや外部監査人による第三者視点の診断・監査レポートを活用し、経営層や関係部門へのフィードバックに繋げる

専門業者への調査相談

原因不明、または調査範囲が大規模な場合は、適切な対応を行うための痕跡が消失する恐れがあります。専門会社の力を借りることで、より正確かつ迅速な対応が可能になります。

フォレンジック調査会社であれば、調査・証拠保全・報告書作成・再発防止まで一貫して対応可能です。教育機関・自治体での対応実績も豊富です。

教育現場の不正アクセス調査・証拠保全・復旧に対応

▶クラウド型教育サービスの被害について相談する

詳しく調べる際はフォレンジック調査会社に相談を

サイバー攻撃、不正アクセス、マルウェア感染のような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。

特に、法的手続きが絡むケースや被害が広範囲に及ぶ場合は、専門家の力を借りることで被害の最小化と信頼性の高い証拠の収集が可能です。

>情報漏えい時の個人情報保護委員会への報告義務とは?詳しく解説

当社では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出、ならびに報告会によって問題の解決を徹底サポートします。

\最短3分でお問合せ完了!法人様は即日Web打合せOK/

24時間365日相談・診断・見積無料
メールで無料診断
0120-900-952

電話で相談するメールで相談する

フォレンジックサービスの流れや料金については下記からご確認ください。

【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて

デジタルデータフォレンジックの強み

デジタルデータフォレンジックは、迅速な対応と確実な証拠収集で、お客様の安全と安心を支える専門業者です。デジタルデータフォレンジックの強みをご紹介します。

累計相談件数47,431件以上のご相談実績

官公庁・上場企業・大手保険会社・法律事務所・監査法人等から個人様まで幅広い支持をいただいており、累積47,431件以上(※1)のご相談実績があります。また、警察・捜査機関から累計409件以上(※2)のご相談実績があり、多数の感謝状をいただいています。
(※1)集計期間:2016年9月1日~
(※2)集計機関:2017年8月1日~

国内最大規模の最新設備・技術

自社内に40名以上の専門エンジニアが在籍し、17年連続国内売上No.1のデータ復旧技術(※3)とフォレンジック技術でお客様の問題解決をサポートできます。多種多様な調査依頼にお応えするため、世界各国から最新鋭の調査・解析ツールや復旧設備を導入しています。
(※3)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2023年)

24時間365日スピード対応

緊急性の高いインシデントにもいち早く対応できるよう24時間365日受付しております。

ご相談から最短30分で初動対応のWeb打合せを開催・即日現地駆けつけの対応も可能です。(法人様限定)自社内に調査ラボを持つからこそ提供できる迅速な対応を多数のお客様にご評価いただいています。

デジタルデータフォレンジックでは、相談から初期診断・お見積りまで24時間365日体制で無料でご案内しています。今すぐ専門のアドバイザーへ相談することをおすすめします。

調査の料金・目安について

まずは無料の概算見積もりを。専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
機器を来社お持込み、またはご発送頂ければ、無料で正確な見積りのご提出が可能です。
まずはお気軽にお電話下さい。

【法人様限定】初動対応無料(Web打ち合わせ・電話ヒアリング・現地保全)

❶無料で迅速初動対応

お電話でのご相談、Web打ち合わせ、現地への駆け付け対応を無料で行います(保全は最短2時間で対応可能です。)。

❷いつでも相談できる

365日相談・調査対応しており、危機対応の経験豊富なコンサルタントが常駐しています。

❸お電話一本で駆け付け可能

緊急の現地調査が必要な場合も、調査専門の技術員が迅速に駆け付けます。(駆け付け場所によっては出張費をいただく場合があります)

料金の詳細はこちら

よくある質問

調査費用を教えてください。

対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。

土日祝も対応してもらえますか?

可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。

匿名相談は可能でしょうか?

もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。

この記事を書いた人

デジタルデータフォレンジックエンジニア

デジタルデータフォレンジック
エンジニア

累計ご相談件数47,431件以上のフォレンジックサービス「デジタルデータフォレンジック」にて、サイバー攻撃や社内不正行為などインシデント調査・解析作業を行う専門チーム。その技術力は各方面でも高く評価されており、在京キー局による取材実績や、警察表彰実績も多数。

認証取得情報

ハッキング
24時間365日相談・診断・見積無料 メールで無料診断 0120-900-952
電話で相談するメールで相談する

フォームでのお問い合わせ

下記のフォームに必要事項をご入力の上、
「送信する」ボタンを押してください。
お問合せ内容を確認次第、担当者
(専門アドバイザー)よりご連絡いたします。

ご相談内容を入力してください。

  • 必須
  • 必須
  • 必須

    ※対象機器がわからない・複数の端末がある場合は「その他・不明」を選択の上、ご相談の詳細に記載をお願いいたします。

  • 必須
  • 任意

お客様情報を入力してください。

  • 必須
  • 必須

    ※半角数字・ハイフンなし

  • 任意
  • 任意

    ※匿名でのご相談希望の方は空欄で送信してください。

  • 必須

    ※お問い合わせから24時間以内に、担当者(専門アドバイザー)よりご連絡いたします。

※ご相談・お見積り無料 24時間365日受付

関連記事はこちら