概要
佐賀県教育委員会が13億円を掛けた、独自教育情報システム「SEI-Net」と、県立学校が導入している校内ネットワークシステム(LAN)に17歳の少年が3回にわたり不正アクセスし、個人情報を含む約21万件の情報を不正入手していたことが明らかになりました。
警察によると、少年は何らかの手法にて別生徒のID・パスワードを入手し、システムに接続した後、自ら開発した攻撃用プログラムでシステムの欠陥を突く手口を用いたようです。
また、校内LANへの不正アクセスに関しては、高校近くで無線LAN電波を受信し、そこからパソコン情報を偽装などしてシステム内部に侵入した疑いがあるとのことです。
さらには本件調査にて、校内LANでの最重要の管理者権限のパスワードを一般教職員でも閲覧可能だったなど、現場のセキュリティの低さも発覚しました。
タイムライン
2016年1月
少年が「SEI-Net」に不正アクセス
2016年2月15日(月)
佐賀県教育委員会は警視庁からの連絡にて本件を把握
2016年6月6日(月)
有料放送を無料にて不正視聴できる不正プログラムを自身の運営サイトに公開したとして、不正競争防止法違反の罪にて少年を逮捕
2016年6月27日(月)
処分保留にて釈放の後に、不正アクセス禁止法違反の罪にて再逮捕
原因
弊社の見解
システムを利用する現場のID・パスワード管理の方法の仕方と、校内LANの不正傍受対策に不備があったと考えられます。
ID・パスワード管理に関して
最重要管理者権限のパスワードが教員ならだれでも閲覧可能な状況で管理がなされていたことが問題です。実際に行っていたパスワード管理方法が明らかにされていませんが、必要最低限の人だけがID・パスワードを閲覧できる保管環境の設定が必要だったと考えられます。たとえば、最高責任者のID・パスワードでしかログインできないパスワードマネージャーで最高権限のID/パスワードを保管するなどの方法が考えられます。
さらには教員側だけでなく、各自ID/パスワードを所持している学生達に対して指導していた保管管理方法も改善の余地があったと思われます。
校内LAN不正傍受対策
こちらもどのような形態で校内LANが運用されていたかが公表されていませんが、ステルスモードを有効にしていたかどうかが疑問です。初歩的な傍受対策ですが、初歩的だからこそ忘れがちな対策です。
また、本件では、13億円掛けたシステムの脆弱性に注目がいきがちだと思いますが、本件は運用面にて被害を防げた可能性があります。
システムの脆弱性を突いた攻撃は100%完全に防ぐことは不可能ですので、いかに運用面での対策が施されているかが鍵となってきます。
被害
対象:9校の佐賀県立高校に在籍する生徒・保護者・教員の下記情報。
- 氏名
- 住所
- 成績表
- 生活態度を記載した個人調査票
- 校内LANのID/パスワード
- SEI-net ID/パスワード
なお、現時点で本件による二次被害の報告はない様子です。
対応
佐賀県は、校内LANやSEI-netなどのパスワードを変更し、以後も不定期で変更する対策を講じました。また今後の動きとして、教職員に対しては、研修などを通じて情報セキュリティリテラシーを向上させ、生徒たち自身にも情報モラル教育を通じて情報セキュリティの重要性を指導することを発表しました。
そして、各学校と同委員会に不正アクセス被害に関する相談窓口を設置する対策をとりました。
関連情報
佐賀県「学校教育ネットワークに係る不正アクセス被害がありました」(2016/06/27)(魚拓)
日本経済新聞「教育システム侵入、成績など21万件盗み出す 容疑の17歳再逮捕」(2016/06/27)(魚拓)
