「できる!」ビジネスマンの雑学
2016年06月29日
[258]佐賀県教育情報システムのセキュリティ問題
IT教育で日本の最先端を走っていたはずの佐賀県で、見過ごすことのできない重大なハッカー事件が発生しました。 情報システムに不正に侵入する行為は違法ですが、すべてを犯人のせいにするだけでは、この事件の本質は見えません。また、侵入された原因が解明されなければ、事件の再発を防ぐこともできません。 この事件で何が起きていたのか、何が見過ごされたのか。これまで公表された報道から振り返ってみます。 【事件の概要】 ・佐賀市に在住する17歳無職少年のハッキングにより、教育情報システムから県立高校など9校1万人分の生徒の成績や父兄の個人情報など、およそ21万件のデータが盗まれました。 ・このデータは共有サイトに投稿され、仲間の間で自由に閲覧できる状態になっていました。 ・主犯の少年は、侵入の手口を教えた仲間の男子生徒(16)と共に、2015年4月頃から1年以上にわたり、教育情報システムに不正侵入をくり返していました。 【事件の流れ】 ・2013年4月、佐賀県で「教育情報システム(SEI-Net)」の運用が始まる。 佐賀県内の県立中学・高校や一部の公立小中学校の計約210校の生徒の成績や出欠情報等を一括管理する。 ・2015年4月、少年らが教育情報システムへ不正アクセスを始める。 ・2016年1月16~18日、少年が自宅パソコンから侵入。同年1月20日には県立高校付近から無線LANを経由して侵入。 ・2016年2月15日、警視庁の情報提供で佐賀県教育委員会は不正アクセスを認識。無線LANサーバー、機器のパスワードを4月中旬までに変更する。 ・2016年5月11~13日、パスワードを変更したにもかかわらず侵入。 ・2016年6月6日、警視庁と佐賀県警はB-CASカードを使わずにTV有料放送をタダで視聴できるプログラムを公開したとして佐賀市の当該少年を逮捕。 ・警視庁から管理者用パスワードがネット内にあることを指摘(日時不明)。県教委は6月20日までに改善。 ・同年6月27日、少年のPCから「教育情報システム」の個人情報が大量に見つかる。 ・同年6月29日、少年(17)は仲間の男子生徒(16)と共に、2015年4月から不正アクセスをくり返していたことが判明。 概要まとめ参考記事 (佐賀新聞 「21万件を不正入手 佐賀の少年再逮捕 =佐賀県教育情報システム不正接続事件=」 2016年6月28日掲出) (佐賀新聞 「県教育情報システム、昨春から不正侵入か 流出発覚後もアクセス」 2016年6月29日掲出) 筆者が【事件の流れ】で注目するのは、警視庁から佐賀県教育委員会に対して二度にわたって、システムがハッキングされたと通告があったことです。警視庁には公的システムへの不正侵入を監視する機関(警視庁サイバー犯罪対策課など)がありますから、通告があったことは幸いでした。しかし、県教育委員会はこのチャンスを活かすことができませんでした。というより、警告に対応できるセキュリティ技術がなかったことがうかがえます。 ところで、運営主体の県教委はなぜ、先に不正アクセスに気付かなかったのでしょうか。おそらくは不正侵入に対する基本的なチェック機能を持っていなかったことが考えられます。その理由は以下の通りです。 (1.)開発元の教育システムにはセキュリティ監視センターがあった 佐賀県が独自に開発したシステムとのことですが、実は凸版印刷が主体となって開発した教育支援システムでした。 凸版印刷、佐賀県に提供したICT教育支援システムを全国に向け販売開始 このシステムでは「セキュリティ監視センターで24時間365日安全性をチェックすることにより、信頼性を向上」 と明記しています。 もし監視センターが機能していれば、2015年4月の最初の侵入を検知して、すみやかに対応していたはずです。なぜ監視機能が働かなかったのか、もしくはなかったのか、今後の検証が待たれます。 (2.)システムの監視体制の不在 定期的にシステムの安全性をチェックする体制がなく、運用開始の2013年から3年間にわたり、ノーチェックで運用されていました(報道より)。そのため運用後に見つかるセキュリティホールへの対策は何ひとつ取られませんでした。そのことが、次の(3.)への重大な問題へとつながります。 (3.)管理者権限パスワードは生徒が閲覧できる場所にあった 「県教委は警視庁から管理者用パスワードが入ったファイルが、生徒や教職員でも閲覧できる情報としてネットワーク内に置かれている状況に関して対応すべきとの助言を受け、6月20日までに改善した。」(佐賀新聞 「県教育情報システム、昨春から不正侵入か 流出発覚後もアクセス」 2016年6月29日掲出) この管理者権限パスワードですが、学校ごとにネットワーク上のさまざまな場所に保存されていたそうです。つまり厳重にカギをかけた扉の前に、その鍵を置いていたことになります。 生徒権限でアクセスしても、管理者のパスワードを入手することは、いとも簡単だったことは言うまでもありません。ファイルを開いてそこにあるパスワードを入力するだけですから。 管理者権限パスワードをネット上に置くという致命的な不手際がなぜ、3年間も放置されたのか。そもそもパスワード保管の責任者はいたのか。こうしたセキュリティへの基本的姿勢がないがしろになっていたのかもしれません。 逮捕された17歳の少年は佐賀市在住ですから、2013年当時、始まったばかりの教育情報システムに生徒として接続していた可能性があります。おそらくこのときにこのシステムに強い関心をいだいたと思われます。 卒業後も、元同級生や下級生などから、生徒のIDやパスワードを聞き出したり、盗むことは可能だったはずです。最初の足がかりは、こうした「正規の入り口」から始まったのかもしれません。 クラウドシステムの管理には、高度な知識が必要 すべての情報をサーバーに置くクラウドシステムは、その手軽さや情報を一元管理できる安全性から、今では主流となりつつあります。 ところが、クラウドシステムを採用しているFaceBookやiCloud などで、個人情報やプライベートな写真が流出する事件がたびたび発生しています。使いやすさだけを求めるとセキュリティは低くなり、パスワードひとつで全データを盗まれるなど被害は増大しています。 また、無線LANはケーブルを敷設する手間はありませんが、電波さえ受信できれば、学校外からもアクセスできます。今回のケースでは、有線LANのみの運営、もしくはインターネット接続を生徒用システムに限定していれば、教師用システムにあった成績や父兄の個人情報の流出は防ぐことができたはずです。そもそも学校外からインターネット接続を使ってシステムとつながる必然性は、どの程度あったのでしょうか。 便利なクラウドシステム、接続に垣根のない無線LAN、そして誰もがアクセスできるインターネット接続。この3つを天秤にかけて、セキュリティのためにいずれかを犠牲にするべきでした。 佐賀県教育委員会にはそれを判断するに足る能力が必要でした。 筆者が心配するのは、セキュリティを軽視して進化する教育システムへの盲信が始まることです。このままでは生徒の学校生活がどうであれ、記録された成績しだいで希望の高校や大学へ進学できるようになります。今後起こりうる可能性としては、生徒の成績や内申書を有料で改ざんする違法サービスの出現でしょう。 便利さを追い求めたはずの佐賀県の教育情報システム。今回の事件から導き出される教訓に、運営者が謙虚に耳を傾け、システムの改善へとつながることを願ってやみません。(水) --------------------- 「できる!」ビジネスマンの雑学 ジャンル別 --------------------- 〇ニュースを読む 〇出来事 〇本・雑誌 〇IT関連 〇旅 〇食と料理 〇教育 |