セキュリティの新しい風 ~Birds of a feather~
第一回 セキュリティ文化の確立を!佐賀県学校教育ネットワークセキュリティ調査で見えてきたもの

特集記事

 不正アクセス事件の概要

2016年6月に公表された佐賀県の学校教育ネットワークシステムへの不正アクセス事件は、当初、高度な技術を持った無職少年がシステムに侵入し、生徒や保護者、教員等の住所・氏名や電話番号、家族構成などの情報、生徒指導の報告書、生徒の成績情報等、1万人分の情報が流出したとされた。 不正アクセス事件の経緯等は、図表1のようであった。

図表1 学校教育ネットワークシステムへの不正アクセス事件の経緯 画像
図表1 学校教育ネットワークシステムへの不正アクセス事件の経緯

今回の不正アクセスでは、以下の3つの要因が大きく影響している。

外部の無職少年内部の生徒が関係した不正アクセスで、無職少年は、生徒のユーザID、パスワードを利用し、システムに侵入した犯行注1と考えることができる。

 

注1)組織内部にいる社員や委託業者が、不正アクセスでは、三菱UFJ証券(2009年発覚)やベネッセ(2014年発覚)等の例があり、外部と内部職員が関係したものには、三和銀行茨木支店(1981年発覚)や東海銀行不正送金事件(1994年発覚)等がある。

   

生徒は、学校システムを学校内だけでなく、自宅などからもアクセスできる立場にあり、内部利用者である。外部の無職少年は、内部利用者である生徒のユーザIDとパスワードを利用することで、システムの脆弱性を調べ、利用することなく、アクセスすることができた。

   

② 生徒の一人は、自分の学習用端末を利用して、教員のユーザID、パスワードを盗取した「ID窃盗」注2を行った。

   

注2)生徒用学習端末の画面がフリーズしたと偽り、端末の復元のため、教員にユーザID、パスワードを入力させ、それらを盗取した。 画面作成等は、無職少年がやったと思われる。 フィッシングとも言えるが、表現としては、ID窃盗(ID Theft)が適切であろう。

   

生徒用学習端末は、各家庭が費用負担をしているが、利用するソフトウェア等やネットワークは佐賀県の管理下にあることを考えれば、生徒用学習端末は、「私物機器利用(BYOD:Bring Your Own Device)」と考えられ、端末の故障時や学期始め等のソフトウェアの導入等を生徒に任せることが必ずしも適切ではないと思われる。

   

③ 教職員や一部の委託業者は、管理者のユーザID、パスワードやそれらを含む文書、ツール類等の重要情報をウェブ上に保存していた。このため、生徒のユーザID、パスワードでアクセスし、そこから管理者ユーザID、パスワードを利用することにより、重要情報を窃取した。

 

今回の事件を概括すると、広義の「ソーシャルエンジニアリング攻撃」と「基礎的・実践的セキュリティ知識」の欠如と考えることができるが、もし、ソーシャルエンジニアリング攻撃だけであれば、大量の情報漏えい事件に繋がることはなかったと思われる。