セキュリティの新しい風 ~Birds of a feather~
第一回 セキュリティ文化の確立を!佐賀県学校教育ネットワークセキュリティ調査で見えてきたもの

特集記事

鍵管理を怠った「シェアハウス的脆弱性」 

現実の世界に例えれば、シェアハウスにたとえられるかもしれない。シェアハウスの住人は、自分の部屋の鍵と共有スペースである「リビングダイニング」へ通じる入口の鍵を渡されている。 ある時に、悪意を持った外部の人間が一人の住民から入口の鍵を借りて、リビングダイニングに入ったら、各住人の部屋の鍵の多くが、そこに置いたあった。住民は誰もいなければ、外部者はリビングダイニングに置いてある鍵を使って、各部屋に入り、貴重品を盗んだと考えることができる。最低限の鍵管理ができていれば、事件になる可能性は減る。

図表1 学校教育ネットワークシステムへの不正アクセス事件の経緯 画像

少年が行った ソーシャルエンジニアリング攻撃

① ソーシャルエンジニアリングの定まった定義はないが、筆者は以下のように考えている。 ・人間の心理的な弱さを利用したり、他人になりすましたりして、必要な情報を盗み見したり、盗取するもので、いくつかの方法を組み合わせたり、複数の人から情報収集を行うこともある。

無職少年が、生徒のユーザID、パスワードをどの様に取得したかは明確になっていないが、仲間(グループ)を構成することで、容易に提供させた可能性がある。彼らは、TV会議が可能なソフトウェアを使って、「情報収集会議」を開催しており、生徒がユーザID、パスワードを提供しても不思議ではない。

② 生徒用学習端末を使って、画面をフリーズさせ、管理者用IDとパスワードを入力ささせて、それを 盗取している。生徒が自分の学習用端末を使って、管理者用IDとパスワードを盗取する目的で利用する想定がなかったと思われ、そのため簡単に騙されてしまった。最近の標的型攻撃等は、利用者を巧みに騙すことにより、必要な情報を盗取する「ソーシャルエンジニアリング」攻撃が盛んになってきている。

欠如していた基礎的・実践的なセキュリティ知識について

今回の事件は、学校教育現場での事件だが、学校教育現場だけの問題ではない課題も多く、技術的な対策やセキュリティポリシーでは対応できない課題も多い。教員や一部の業務委託先社員等に「基礎的・実践的なセキュリティ知識」の必要性を感じた。また、教員と業務委託先社員の関係、即ち、教員が、これは利便性が悪いので、この方法を、と言われると、委託先社員がセキュリティ上の課題を適切に説明できないため、言われた方法を採用してしまうこともある。今回の事件で見えてきたものについて説明する。

(1) 環境犯罪学・集団心理学

教育委員会や教員は、学校現場で生徒等が悪いことをしないと考えていることが多い。しかし、2014年に滋賀県の高校で発生した不正アクセスでは、卒業式の演出準備で教員のノートPCを生徒に貸し出した時、「スクリーンタイムアウト」設定をしてあったため、パスワードを書いたメモを生徒に渡したが、それを近くにいた別の生徒が表示されていたユーザIDとそのパスワードを盗み見て利用した注3

注3)JCASTニュース、教師がパスワードを教えていた! 高校生が不正アクセス、個人情報LINEで流出、http://www.j-cast.com/2014/04/15202268.html?p=all、2014年4月15日

「そこに山があるから山に登る」ではないが、「そこに面白そうなことがあるから」やってみたい衝動に駆られる注4のは、勿論、生徒だけでなない。また、個々の生徒として問題がなくても、集団になると思いも寄らないことを行う場合もある。佐賀県の事件でも、無職少年とその友人の少年、生徒の9名は、Skypeを利用して、「情報収集会議」を行っており、集団心理が働いた可能性も否定できない注5

注4)環境犯罪学では、犯罪の多くは、犯罪が行われやすい環境に問題があり、犯罪者自身に問題がある訳ではないとの考えである。

注5)集団心理:一人一人が悪いことをしなくても、集団になると思考停止状態に陥り、自分の考えや行動などを深く省みることなく無意識のうちに規則等を無視し、いじめ等や違法行為に加担する等、想像以上のことを行うことがある。

(2) アクセス制御/パスワードポリシー

① 生徒用学習端末認証の脆弱性: 生徒は、学習用端末を使って授業を受けるが、教室内だけでなく、自宅等でも利用することを考えると、インターネット利用が必須であり、各生徒の学習端末の「認証」が必要になるが、佐賀県は、ユーザID/パスワードと端末のMACアドレスを利用して、学習端末の認証を行っていた。ネットワークの知識があれば、MACアドレスを偽装し、不正アクセスができる。パスワードの規則的な設定: 県立高校は、36校あるが、各学校、各系に割り当てられたパスワードは、規則性があり、1つのパスワードが分かれば、他校、各系のパスワードを類推できた。最近のパスワード解読ソフトウェアの高速性を考えると、安易なパスワードは簡単に解読できる。

③ 重要ファイルのオンライン保存: 管理者用ID、パスワードが含まれたマニュアルやプログラム(ツール等)を始め、ユーザID/パスワードをオンライン状態で保存することは避けなければならない。また、利便性を考え、特別な管理者用ID/パスワードも作成されていたが、「管理者用パスワードの変更」時に、それらを含めた対応ができなかった。

(3) 管理・運用について

① 問題の矮小化

セキュリティ関係に限ったことではないが、知識がない事柄や対応したくない課題などは、「矮小化」してしまう傾向がある。今回も、2015年6月に、ある高校の教員がシステムへアクセスできないため、ヘルプデスク(外部委託)に連絡したが、広範な検討がなかったため、「特別な管理者用パスワード」は変更されなかった。

② ログ管理

十分な人的・費用的資源がないと、十分なログ管理ができないが、大量のログ監視では、偽陽性や偽陰性の問題注6もあり、簡単に判断できないこともある。更に、正規のユーザID/パスワードを利用してシステムに侵入している場合、発見が難しい。インシデント発覚後等に、過去ログの確認をしようとしたら、ログが既に削除されている場合もある。 実際、2015年6月のログは、保存期間内を越えていたため、再検証できなかった。

注6)偽陽性とは、正しいものが、誤りであると判断される。偽陰性とは、誤りであるにもかかわらず、正しいと判断される

③ セキュリティ監査

第三者的な立場から、構築されたシステムが適切に管理・運用されているかを検証する必要がある。どの様なシステムも、時間の経過や環境の変化によりリスクは変化する。技術の陳腐化や関係者による処理方法の変更でリスクが顕在化することもある。このため、定期的、あるいは、システム変更が行われた場合には、リスク評価や監査を行う必要がある。今回の原因の多くは、技術的な問題でなく、管理・運用も問題であり、適切なセキュリティ監査により、指摘され、改善することが可能であったと思われる。

④ 運用時間帯

学校という特殊性を考えると、夜間に各高校のWiFiを利用する可能性は低い。無職少年らは、夜間、WiFiからシステムに侵入している。アクセスができなければ、セキュリティを確保できる。物理的な切り替えで、昼間と夜間の運用が大変であれば、夜間の監視を厳しくする等の方法も考えられるが、事件発覚まで野放しであった。

⑤ 業務委託先との関係

日々の教育で不便さを感じると、一部の教職員が各学校にいる委託業者への指示をだし、処理を変更することにより、セキュリティ上の脆弱性が発生している。 各学校に常駐している委託先社員も教員との関係から、指示を受けざるを得ないことが多い。特に、教員がコンピュータやセキュリティについて、多少の知識があると、おかしいと感じても押し切られてしまうことが多く、それがシステムの脆弱性になってしまうこともある。