佐賀県教育情報システムにおける不正アクセス事件から学ぶこと
JIJICO / 2016年7月13日 9時0分
佐賀県教育情報システムにおける不正アクセス事件から学ぶこと
17歳の少年が教育情報システムに不正アクセスした事件の概要
佐賀県教育委員会の教育情報システム「SEI-Net」等に不正アクセスしたとして、17歳の少年が逮捕されました。
少年は生徒の個人情報や成績表など、21万件のデータファイルを不正に取得して自分のPCに保存していました。
今年1月に警視庁が別件の容疑で少年のPCを押収したところ、生徒の個人情報や成績表など約21万件のデータファイルを発見し、事件が発覚しました。
佐賀県教育委員会による調査の結果、被害状況は以下の通りでした。
(1)教育情報システム「SEI-Net」の被害:7校分の教職員や生徒のID等
(2)校内LANの被害
a.校務用サーバー:4校分の教職員、生徒、保護者の個人情報や成績関連情報
b.学習用サーバー:6校分の教材等、授業に必要な情報
少年は1年以上前から不正アクセスを繰り返し行い、上記ファイルを収集したとされています。
不正アクセスの手口の推測
不正アクセスの具体的な手口は明らかにされていませんが、報道等から推測すると、おおよそ以下の通りでしょう。
まず、校内LANへの不正アクセスは、攻撃対象とする学校の無線LANの電波を受信可能な場所で実施したと考えられます。
ネットワークに侵入するには、以下の情報が必要です。
①無線LANの認証情報
②校内LANへの認証情報
③アクセス許可された端末情報
①、②はその学校に通う友人等から聞き出し、③はネット上の端末情報を偽装するソフトウェアを使用したと考えられます。
校内LANにアクセスした後、ネットワーク上にある管理者IDの認証情報を入手、解析して重要情報を搾取したと考えられます。
次に「SEI-Net」への不正アクセスです。
「SEI-Net」はインターネットを介さない閉塞網でアクセスするのが原則ですが、一部機能についてはインターネット経由でアクセス可能です。
「SEI-Net」も県内学校に通う友人等から認証情報を聞き出してインターネット経由でアクセスし、システムの脆弱性を利用したり、パスワード解析を行ったりして情報を流出させたと考えられます。
今回の事件における問題点
今回の事件では、校内LANや「SEI-net」を運営する側に幾つか問題点があります。
第一に、校内LANの管理者情報を記載したデータファイルが、誰でも閲覧可能な場所に保管されていたことです。
犯人の少年はこのデータファイルを入手し、暗号化の解除等を行って労せず管理者権限を入手できたと考えられます。
これでは、玄関のノブに鍵を吊るしているのと同じです。
第二に、不正アクセスやデータ流出の発見を目的とするシステム監視が行われていなかったことです。
不正アクセスの際にはその痕跡がログ等に残ります。
また、大量のデータファイルが流出した際も同様です。
こうしたログを定期的に確認しなければ、不正アクセスされたことさえわかりません。
今回の事件も「たまたま」別件で大量の教育関連データが発見されたことから発覚したのであり、少年のPCが押収されていなければ未だに不正アクセスやデータ流出が続いていたでしょう。
第三に、生徒に対するセキュリティ教育が十分でなかった可能性があります。
犯人の少年は県内学校に通う友人や知人からID等を入手したようです。学校のシステムにアクセスするための認証情報を安易に他人に教えない様、注意喚起しなければならないのですが、徹底されていなかったと推測されます。
以上を踏まえると、佐賀県教育委員会や各学校では、校内LANや「SEI-net」が不正アクセスされること自体想定しておらず、危機意識も低かった可能性があります。
報道等では犯人の少年のスキルの高さに注目していますが、むしろ、システム運営上の問題点を上手く利用されただけの「人災」と見なすべきです。
そして、同様のリスクは皆さんの企業や組織にも潜在しています。
※本記事は2016年7月1日時点の公開情報に基づき作成しております。
(金子 清隆/ITコンサルタント セキュリティコンサルタント)
この記事に関連するニュース
-
満足度100%の人気企画!好評につき第2弾!私立小学校が見学できるバスツアー中央線編開催決定!リアルな教育風景から本当の志望校選びを体験する「100校訪問から見えた!理想の学校選びバスツアー」
PR TIMES / 2025年1月11日 20時40分
-
三信電気、日建学院の出席確認システムに顔認証の仕組みを導入
PR TIMES / 2025年1月8日 11時45分
-
学校法人青山学院が楽々WorkflowIIで大規模かつ複雑な組織の業務効率化を実現 ~ 紙の申請書業務をペーパーレス化、高機能な検索エンジンにより問い合わせ業務を大幅削減 ~
Digital PR Platform / 2024年12月26日 13時34分
-
「誰かに話したら勉強を教えない」と脅迫し…小学校教師がビデオカメラに収めていた女子生徒への「鬼畜の所業」
プレジデントオンライン / 2024年12月20日 16時15分
-
作家・岩井志麻子氏の〝女性器アート〟行方不明の怪 警察が押収した証拠物件はどこへ…
東スポWEB / 2024年12月19日 21時49分
ランキング
-
11年で30人の職員が退職…60代・嘱託介護士が体験した「サービス付き高齢者住宅」の闇【専門家が解説】
THE GOLD ONLINE(ゴールドオンライン) / 2025年1月13日 11時15分
-
2参天製薬の「近視進行抑制剤」に注目が集まる理由 国内で初承認、小児の近視対策に新たな選択肢
東洋経済オンライン / 2025年1月13日 7時30分
-
3ローカル鉄道に続々登場「復刻カラー」人気の秘密 何十年も前の初登場時の塗装が懐かしさを呼ぶ
東洋経済オンライン / 2025年1月13日 6時30分
-
4フリーアナと駅弁経営の二刀流「異色の社長」の素顔 プロバスケのレポーターを兼業、会場で弁当販売も
東洋経済オンライン / 2025年1月13日 9時5分
-
5プラダがヴェルサーチ買収の可能性検討、シティと評価=関係筋
ロイター / 2025年1月13日 14時16分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください