佐賀県教育情報システムにおける不正アクセス事件から学ぶこと
JIJICO / 2016年7月13日 9時0分
佐賀県教育情報システムにおける不正アクセス事件から学ぶこと
17歳の少年が教育情報システムに不正アクセスした事件の概要
佐賀県教育委員会の教育情報システム「SEI-Net」等に不正アクセスしたとして、17歳の少年が逮捕されました。
少年は生徒の個人情報や成績表など、21万件のデータファイルを不正に取得して自分のPCに保存していました。
今年1月に警視庁が別件の容疑で少年のPCを押収したところ、生徒の個人情報や成績表など約21万件のデータファイルを発見し、事件が発覚しました。
佐賀県教育委員会による調査の結果、被害状況は以下の通りでした。
(1)教育情報システム「SEI-Net」の被害:7校分の教職員や生徒のID等
(2)校内LANの被害
a.校務用サーバー:4校分の教職員、生徒、保護者の個人情報や成績関連情報
b.学習用サーバー:6校分の教材等、授業に必要な情報
少年は1年以上前から不正アクセスを繰り返し行い、上記ファイルを収集したとされています。
不正アクセスの手口の推測
不正アクセスの具体的な手口は明らかにされていませんが、報道等から推測すると、おおよそ以下の通りでしょう。
まず、校内LANへの不正アクセスは、攻撃対象とする学校の無線LANの電波を受信可能な場所で実施したと考えられます。
ネットワークに侵入するには、以下の情報が必要です。
①無線LANの認証情報
②校内LANへの認証情報
③アクセス許可された端末情報
①、②はその学校に通う友人等から聞き出し、③はネット上の端末情報を偽装するソフトウェアを使用したと考えられます。
校内LANにアクセスした後、ネットワーク上にある管理者IDの認証情報を入手、解析して重要情報を搾取したと考えられます。
次に「SEI-Net」への不正アクセスです。
「SEI-Net」はインターネットを介さない閉塞網でアクセスするのが原則ですが、一部機能についてはインターネット経由でアクセス可能です。
「SEI-Net」も県内学校に通う友人等から認証情報を聞き出してインターネット経由でアクセスし、システムの脆弱性を利用したり、パスワード解析を行ったりして情報を流出させたと考えられます。
今回の事件における問題点
今回の事件では、校内LANや「SEI-net」を運営する側に幾つか問題点があります。
第一に、校内LANの管理者情報を記載したデータファイルが、誰でも閲覧可能な場所に保管されていたことです。
犯人の少年はこのデータファイルを入手し、暗号化の解除等を行って労せず管理者権限を入手できたと考えられます。
これでは、玄関のノブに鍵を吊るしているのと同じです。
第二に、不正アクセスやデータ流出の発見を目的とするシステム監視が行われていなかったことです。
不正アクセスの際にはその痕跡がログ等に残ります。
また、大量のデータファイルが流出した際も同様です。
こうしたログを定期的に確認しなければ、不正アクセスされたことさえわかりません。
今回の事件も「たまたま」別件で大量の教育関連データが発見されたことから発覚したのであり、少年のPCが押収されていなければ未だに不正アクセスやデータ流出が続いていたでしょう。
第三に、生徒に対するセキュリティ教育が十分でなかった可能性があります。
犯人の少年は県内学校に通う友人や知人からID等を入手したようです。学校のシステムにアクセスするための認証情報を安易に他人に教えない様、注意喚起しなければならないのですが、徹底されていなかったと推測されます。
以上を踏まえると、佐賀県教育委員会や各学校では、校内LANや「SEI-net」が不正アクセスされること自体想定しておらず、危機意識も低かった可能性があります。
報道等では犯人の少年のスキルの高さに注目していますが、むしろ、システム運営上の問題点を上手く利用されただけの「人災」と見なすべきです。
そして、同様のリスクは皆さんの企業や組織にも潜在しています。
※本記事は2016年7月1日時点の公開情報に基づき作成しております。
(金子 清隆/ITコンサルタント セキュリティコンサルタント)
この記事に関連するニュース
-
ベネッセグループが「第15回EDIX(教育総合展)東京」 に出展 Next GIGAに向けて「すべての児童・生徒のよりよい学び」と、それを支える学校現場の校務DXと働き方改革を支援します
PR TIMES / 2024年4月22日 12時45分
-
両備システムズ、教育分野の展示会「EDIX(教育総合展)」へ出展 ~「子どもの未来を創造する両備教育DX」ソリューションを出展~
@Press / 2024年4月17日 14時0分
-
必見!次世代の教育環境を実現する「NEXT GIGA・校務DX・セキュリティ対策」に効果的な最新IT情報を第15回EDIX東京に出展で紹介
Digital PR Platform / 2024年4月10日 11時10分
-
「成長期の堕落がひどい」北朝鮮で高校生の盗撮事件が大問題に
デイリーNKジャパン / 2024年4月10日 4時2分
-
笛吹市教育委員会がフルノシステムズのアクセスポイントを導入し学校向け無線LANを整備
PR TIMES / 2024年4月1日 23時40分
ランキング
-
1山手線沿線の再開発が進む 「新宿、渋谷、品川」駅の工事はいつ終わるのか
ITmedia ビジネスオンライン / 2024年4月25日 7時10分
-
2アキレス、シューズの国内生産終了へ コスト増や少子化など背景
ロイター / 2024年4月25日 16時27分
-
3イトーヨーカドー、祖業のアパレル復活なるか アダストリアとの新ブランドが生んだ“相乗効果”
ITmedia ビジネスオンライン / 2024年4月25日 10時0分
-
4サイゼリヤ、ギリギリ「国内黒字化」も残る難題 国内事業の利益率0.05%、値上げなしで大丈夫か
東洋経済オンライン / 2024年4月24日 7時30分
-
5過度の変動望ましくない、動向注視し万全の対応行う=円安で官房長官
ロイター / 2024年4月25日 11時35分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください