開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2016/07/14

佐賀県の教育情報流出、最先端システムでも「無線LAN」が甘かった

17歳の少年が佐賀県の教育ネットワークに侵入し、教育情報システムから佐賀県内高校に通う生徒の個人成績や評価情報などを盗み出していたという事件。最先端のシステムに侵入した未成年ハッカーの才能を評価する声もあるが、教育ネットワーク側の設定や運用に問題があり、それほどのスキルがなくても侵入可能な状態だったと分析する専門家も少なくない。教育ネットワーク側の問題のひとつが、無線LANのセキュリティ対策が不十分だったという指摘だ。

フリーランスライター 中尾真二

フリーランスライター 中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。


photo
佐賀県の「最先端」教育情報システムが不正にアクセスされたワケ

ウォードライビングで無線LANに接続か

 報道によれば、この少年は高校には通っておらず、校舎の外から校内の無線LANアクセスポイントに接続し、不正アクセスを行っていたという。こうした行為はウォードライビングと呼ばれ、外から接続可能なアクセスポイントを探してまわるハッキング行為は古くから存在する。この事件でも、校外から接続可能な場所を探し当てたのだろう。無線LANアクセスポイントの接続には、少年の友人である高校生のアカウントを利用していた。

 その後、教職員のID情報を盗み出し(アクセス可能な場所に保存されていたという報道もある)、校務用のサーバーやSEI-Netと呼ばれる教育情報システムにアクセスを繰り返した。盗み出された個人情報は数万件ともいわれている。その中には生徒の成績、指導や相談内容など詳細な個人情報、プライバシー情報も含まれていたといい、生徒や保護者への衝撃も大きかった。

内部からの攻撃に弱いイントラネット

関連記事
 そもそも事件の発覚も、学校や教育委員会などシステムやネットワークを管理する側ではなく、警察からの問い合わせからだったという。B-CASカードの偽造という別件で捜査を受けていた少年から押収したパソコンなどを解析した中で、高校の成績表などの情報を発見し、発覚したものだ。

 一般に、各自治体に設置されている公立学校向け教育ネットワークは、広域LANのような設定でインターネットに直接つながっていない構成をとる。外部からの攻撃には一定の耐性があるといえるのだが、内部からの攻撃に弱い傾向がある。

 これは、企業ネットワークでもよくある問題だ。内部の運用や制限を厳しくすると、どうしても可用性が落ち、業務効率が悪くなる。現場からも不評を買いがちなので、なかなかなくならない問題だ。外部攻撃は対策するが、内部攻撃を過小評価して、内部のアクセス制御や運用ルールがずさんなことが現実としてある。企業をねらった標的型攻撃でも、メールを開いてマルウェアを実行してしまったPCから、サーバーへの侵入を許してしまうのは典型的なパターンだ。

【次ページ】無線LANは基本的なセキュリティ対策だけではダメ

政府・官公庁・学校教育IT ジャンルのトピックス

政府・官公庁・学校教育IT ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!