佐賀県教育情報システムにおける不正アクセス事件から学ぶこと

17歳の少年が教育情報システムに不正アクセスした事件の概要

佐賀県教育委員会の教育情報システム「SEI-Net」等に不正アクセスしたとして、17歳の少年が逮捕されました。
少年は生徒の個人情報や成績表など、21万件のデータファイルを不正に取得して自分のPCに保存していました。
今年1月に警視庁が別件の容疑で少年のPCを押収したところ、生徒の個人情報や成績表など約21万件のデータファイルを発見し、事件が発覚しました。

佐賀県教育委員会による調査の結果、被害状況は以下の通りでした。
（１）教育情報システム「SEI－Net」の被害：7校分の教職員や生徒のID等
（２）校内LANの被害
　ａ．校務用サーバー：4校分の教職員、生徒、保護者の個人情報や成績関連情報
　ｂ．学習用サーバー：6校分の教材等、授業に必要な情報
少年は１年以上前から不正アクセスを繰り返し行い、上記ファイルを収集したとされています。

不正アクセスの手口の推測

不正アクセスの具体的な手口は明らかにされていませんが、報道等から推測すると、おおよそ以下の通りでしょう。
まず、校内LANへの不正アクセスは、攻撃対象とする学校の無線LANの電波を受信可能な場所で実施したと考えられます。
ネットワークに侵入するには、以下の情報が必要です。
①無線LANの認証情報
②校内LANへの認証情報
③アクセス許可された端末情報

①、②はその学校に通う友人等から聞き出し、③はネット上の端末情報を偽装するソフトウェアを使用したと考えられます。
校内LANにアクセスした後、ネットワーク上にある管理者IDの認証情報を入手、解析して重要情報を搾取したと考えられます。
次に「SEI－Net」への不正アクセスです。
「SEI－Net」はインターネットを介さない閉塞網でアクセスするのが原則ですが、一部機能についてはインターネット経由でアクセス可能です。
「SEI－Net」も県内学校に通う友人等から認証情報を聞き出してインターネット経由でアクセスし、システムの脆弱性を利用したり、パスワード解析を行ったりして情報を流出させたと考えられます。

今回の事件における問題点

今回の事件では、校内LANや「SEI-net」を運営する側に幾つか問題点があります。
第一に、校内LANの管理者情報を記載したデータファイルが、誰でも閲覧可能な場所に保管されていたことです。
犯人の少年はこのデータファイルを入手し、暗号化の解除等を行って労せず管理者権限を入手できたと考えられます。
これでは、玄関のノブに鍵を吊るしているのと同じです。

第二に、不正アクセスやデータ流出の発見を目的とするシステム監視が行われていなかったことです。
不正アクセスの際にはその痕跡がログ等に残ります。
また、大量のデータファイルが流出した際も同様です。
こうしたログを定期的に確認しなければ、不正アクセスされたことさえわかりません。
今回の事件も「たまたま」別件で大量の教育関連データが発見されたことから発覚したのであり、少年のPCが押収されていなければ未だに不正アクセスやデータ流出が続いていたでしょう。

第三に、生徒に対するセキュリティ教育が十分でなかった可能性があります。
犯人の少年は県内学校に通う友人や知人からID等を入手したようです。学校のシステムにアクセスするための認証情報を安易に他人に教えない様、注意喚起しなければならないのですが、徹底されていなかったと推測されます。

以上を踏まえると、佐賀県教育委員会や各学校では、校内LANや「SEI-net」が不正アクセスされること自体想定しておらず、危機意識も低かった可能性があります。
報道等では犯人の少年のスキルの高さに注目していますが、むしろ、システム運営上の問題点を上手く利用されただけの「人災」と見なすべきです。
そして、同様のリスクは皆さんの企業や組織にも潜在しています。

※本記事は2016年7月1日時点の公開情報に基づき作成しております。

（金子 清隆／ITコンサルタント セキュリティコンサルタント）