佐賀県教育情報システムにおける不正アクセス事件から学ぶこと
JIJICO / 2016年7月13日 9時0分
![佐賀県教育情報システムにおける不正アクセス事件から学ぶこと](https://media.image.infoseek.co.jp/isnews/photos/jijico/jijico_20700_0-small.jpg)
佐賀県教育情報システムにおける不正アクセス事件から学ぶこと
17歳の少年が教育情報システムに不正アクセスした事件の概要
佐賀県教育委員会の教育情報システム「SEI-Net」等に不正アクセスしたとして、17歳の少年が逮捕されました。
少年は生徒の個人情報や成績表など、21万件のデータファイルを不正に取得して自分のPCに保存していました。
今年1月に警視庁が別件の容疑で少年のPCを押収したところ、生徒の個人情報や成績表など約21万件のデータファイルを発見し、事件が発覚しました。
佐賀県教育委員会による調査の結果、被害状況は以下の通りでした。
(1)教育情報システム「SEI-Net」の被害:7校分の教職員や生徒のID等
(2)校内LANの被害
a.校務用サーバー:4校分の教職員、生徒、保護者の個人情報や成績関連情報
b.学習用サーバー:6校分の教材等、授業に必要な情報
少年は1年以上前から不正アクセスを繰り返し行い、上記ファイルを収集したとされています。
不正アクセスの手口の推測
不正アクセスの具体的な手口は明らかにされていませんが、報道等から推測すると、おおよそ以下の通りでしょう。
まず、校内LANへの不正アクセスは、攻撃対象とする学校の無線LANの電波を受信可能な場所で実施したと考えられます。
ネットワークに侵入するには、以下の情報が必要です。
①無線LANの認証情報
②校内LANへの認証情報
③アクセス許可された端末情報
①、②はその学校に通う友人等から聞き出し、③はネット上の端末情報を偽装するソフトウェアを使用したと考えられます。
校内LANにアクセスした後、ネットワーク上にある管理者IDの認証情報を入手、解析して重要情報を搾取したと考えられます。
次に「SEI-Net」への不正アクセスです。
「SEI-Net」はインターネットを介さない閉塞網でアクセスするのが原則ですが、一部機能についてはインターネット経由でアクセス可能です。
「SEI-Net」も県内学校に通う友人等から認証情報を聞き出してインターネット経由でアクセスし、システムの脆弱性を利用したり、パスワード解析を行ったりして情報を流出させたと考えられます。
今回の事件における問題点
今回の事件では、校内LANや「SEI-net」を運営する側に幾つか問題点があります。
第一に、校内LANの管理者情報を記載したデータファイルが、誰でも閲覧可能な場所に保管されていたことです。
犯人の少年はこのデータファイルを入手し、暗号化の解除等を行って労せず管理者権限を入手できたと考えられます。
これでは、玄関のノブに鍵を吊るしているのと同じです。
第二に、不正アクセスやデータ流出の発見を目的とするシステム監視が行われていなかったことです。
不正アクセスの際にはその痕跡がログ等に残ります。
また、大量のデータファイルが流出した際も同様です。
こうしたログを定期的に確認しなければ、不正アクセスされたことさえわかりません。
今回の事件も「たまたま」別件で大量の教育関連データが発見されたことから発覚したのであり、少年のPCが押収されていなければ未だに不正アクセスやデータ流出が続いていたでしょう。
第三に、生徒に対するセキュリティ教育が十分でなかった可能性があります。
犯人の少年は県内学校に通う友人や知人からID等を入手したようです。学校のシステムにアクセスするための認証情報を安易に他人に教えない様、注意喚起しなければならないのですが、徹底されていなかったと推測されます。
以上を踏まえると、佐賀県教育委員会や各学校では、校内LANや「SEI-net」が不正アクセスされること自体想定しておらず、危機意識も低かった可能性があります。
報道等では犯人の少年のスキルの高さに注目していますが、むしろ、システム運営上の問題点を上手く利用されただけの「人災」と見なすべきです。
そして、同様のリスクは皆さんの企業や組織にも潜在しています。
※本記事は2016年7月1日時点の公開情報に基づき作成しております。
(金子 清隆/ITコンサルタント セキュリティコンサルタント)
この記事に関連するニュース
-
「プールの水出しっぱなし」事件が今年も続出。13日間出し続け「約300万円の損害」を出した小学校も
日刊SPA! / 2024年7月11日 8時50分
-
生徒の個人情報が記載の資料を生徒用トイレに放置…見た生徒はいるか?全校聞き取り調査の結果“いない”現時点でネット流出もなし 北海道幕別清陵高校
北海道放送 / 2024年7月8日 21時17分
-
約74%の保護者が「学校見学」に参加!見学する学校が多いほど後悔も少ない?【中学・高校・大学の学校見学に関する調査】
PR TIMES / 2024年7月4日 17時45分
-
KADOKAWAの情報がさらに流出した可能性 「情報の正確性について調査中」と発表
おたくま経済新聞 / 2024年7月2日 17時39分
-
日本の学校における情報漏えいの約半数が紙からであることが判明
PR TIMES / 2024年7月2日 11時15分
ランキング
-
1今回のシステム障害、補償はどうなる?…「保険上の大惨事」「経済的損害は数百億ドル」
読売新聞 / 2024年7月20日 21時24分
-
2「みんなの意見は正しい」はウソである…ダメな会社がやめられない「残念な会議」のシンプルな共通点
プレジデントオンライン / 2024年7月20日 16時15分
-
3AI利用で6割が「脅威感じる」 規則・体制整備に遅れも
共同通信 / 2024年7月20日 16時50分
-
4次はコメで家計大打撃!? 昨年の猛暑の影響で不足が懸念、約11年ぶりの高値水準に 銘柄によっては品薄や欠品も
zakzak by夕刊フジ / 2024年7月20日 10時0分
-
5苦境の書店、無人店舗が救う? 店内で感じた新たな可能性
ITmedia ビジネスオンライン / 2024年7月20日 7時35分
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/mission_close_icon.png)
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/point-loading.png)
エラーが発生しました
ページを再読み込みして
ください
![](/pc/img/mission/mission_close_icon.png)