ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2016-06-27

佐賀県の教育情報システム「SEI-NET」と校内LANへの不正アクセス事案についてまとめてみた

| 00:38 | 佐賀県の教育情報システム「SEI-NET」と校内LANへの不正アクセス事案についてまとめてみたを含むブックマーク

2016年6月26日、佐賀県の教育情報システム(SEI-NET)、及び校内LAN不正アクセスを受け、個人情報が漏えいする被害が確認されたと報じられました。ここでは関連情報をまとめます。

公式発表

佐賀県

インシデントタイムライン

不正アクセス関連

日時出来事
2015年4月頃遅くともこの頃から少年らが不正アクセスを始める *1
2016年1月16日〜18日17歳少年がSEI-NETへ不正アクセスを行った疑い
2016年1月20日17歳少年が佐賀県立高校の校内LAN不正アクセスを行った疑い
2016年1月31日不正視聴事案の捜査を受け、17歳少年のPCが押収
2016年2月15日警視庁より連絡を受け佐賀県教育庁不正アクセス事案を把握
2016年5月13日16歳少年が校内LAN不正アクセス
2016年6月27日佐賀県教育委員会が事案について公表
同日文部科学省佐賀県に対して事実関係の早急な報告を指示。*2
同日個人情報が漏えいした致遠館中学、同高校で全校集会*3

事案関連

日時出来事
2016年6月6日B-CASの不正視聴プログラムを配布したとして17歳少年が不正競争防止法違反の容疑で逮捕
2016年6月21日16歳少年を不正アクセス禁止法違反の容疑で佐賀地検書類送検
2016年6月26日SEI-NETへの不正アクセスを受け17歳少年再逮捕の方針であると報道*4
2016年6月27日まで17歳少年を処分保留として釈放
2016年6月27日SEI-NETへ不正アクセス禁止法違反の容疑で17歳少年を再逮捕

不正アクセスを受けたSEI-NETに関する情報

概要情報
  • Saga Education Informaition Networkを略して「SEI-NET」(セイネット)と呼称している。
  • 全国に先駆け2013年4月より導入。
  • 約13億円をかけて構築した。
  • 佐賀県内県立中学校、高校、及び一部の公立小中学校約210校が利用している。
  • SEI-NETの管理運用は凸版印刷が行っている
佐賀県の公開情報
SEI-NETのアクセスコントロール
  • 教員が個人情報にアクセスするには校内LANに接続が必要
  • 児童生徒は校外からはID/PWを入力することでテスト結果や予習、復習を行うことが可能
登録対象者数(2016年5月1日現在)
対象人数
小中学生3万4739人
高校、特別支援学校等の県立学校生5万6590人
教職員7987人

不正アクセスにより漏えいした情報

重複を除くと48校の内9校が被害を受けており、内訳は次の通り。

不正アクセス被害対象被害校数ファイル数漏えい情報漏えい件数
校務用サーバー
(校内LAN)
4校

佐賀東高校
佐賀北高校
致遠館高校
致遠館中学校
約7,000件教員、生徒の個人情報9,589人分 (精査中) *5
学習用サーバー
(校内LAN)
6校

佐賀北高校
致遠館高校
致遠館中学校
小城小学校
佐賀商業高校
武雄高校
約14万6千件主に教材コンテンツ
一部生徒の氏名あり
調査中
SEI-NET7校

佐賀北高校
致遠館高校
小城小学校
佐賀商業高校
武雄高校
佐賀西高校
佐賀工業高校
7件
(被疑者作成のファイル)
教員のID、氏名、メールアドレス
生徒のID、氏名
教員579人分
生徒5,502人分
校務用サーバーから漏えいした情報

校務用サーバーに格納されていた次を含む個人情報の漏えいが重大な被害へとつながった。*6

漏えいしたデータの状況
  • 17歳少年のサーバーに約21万ファイルが格納されていた。
  • 校務用サーバーから盗んだ個人情報が含まれていたファイルは1,574件。
  • 公教育では過去最大規模の情報漏えい。
  • 一部のデータで2015年4月頃に取得したとみられる痕跡が確認された。*7

発端

佐賀県教育委員会が27日まで公表しなかった理由
  • 警視庁から連絡を受けるまで不正アクセスに気づいておらず、具体的な被害状況を把握できていなかった。 *9
  • 警視庁の捜査に協力する必要があった。
  • 公表したのは警視庁が17歳少年を再逮捕したことによる。

原因

SEI-NETへの不正アクセスの原因

17歳少年が行ったSEI-NETへの不正アクセスに関する原因は次の通り。

  • SEI-NETに何らかの欠陥が存在し、そこを突かれたことによる。
  • 欠陥とはシステムのセキュリティ脆弱性であると報じられている。*10
  • 凸版印刷は取材に対して犯罪を助長することになるとして詳細な原因は明らかにしていない。*11
校内LANへの不正アクセスの原因

17歳少年が行った校内LANへの不正アクセスに関する原因は次の通り。*12

  • 高校の近くまで実際に出向き、無線LAN電波を受信。
  • PCの情報を偽装するなどしてシステムの内部に侵入。

16歳少年が行った不正アクセスに関する原因は次の通り。

17歳少年が行った校内LANへの不正アクセスの方法

  • (1) あらかじめ何らかの方法で得た生徒のアカウント情報を使ってシステムへ侵入。
  • (2) 管理者用IDを含むファイルがシステム上に生徒のアカウントで閲覧できる場所に保管されており、これを解析。 *14
  • (3) 教職員用のID/PWを使って校内LANへアクセスを行っていた。

不正アクセスを受けて佐賀県の対応

  • 問い合わせ窓口の設置
  • SEI-NETのシステムの改修
  • SEI-NETに係るパスワードの変更(現在も不定期で変更している)
  • 生徒、保護者宛に経緯を説明した文書を送付予定。
パスワード変更について取り上げた記事

2年近く変更されていなかったパスワード2016年2月24日に一斉で変更が行われた模様。

不正アクセスを受けて佐賀県知事のコメント

一番大事なところ、漏れてはいけない所が漏れたということは、非常に厳しい状況だなというふうに思います。セキュリティーレベルの問題も含めて、じっくり検証してやっていかないと。

http://www.fnn-news.com/news/headlines/articles/CONN00328803.html
  • SEI-NETは前回の知事の肝いりで、山口知事は慎重な立場だった模様。

事案、被疑者に関する情報

事案名

教育情報システムに対する不正アクセス禁止法違反事件

不正アクセス容疑者に関する情報

SEI-NET、または校内LANへの不正アクセスには複数人が関与した可能性がある。逮捕、または送検された人物は次の通り。

17歳少年の容疑

  • 不正アクセス禁止法違反
  • 校内LANのシステムに合計3回アクセスを行った疑い。*15
  • 17歳少年は容疑をおおむね認めている。
  • 17歳少年は専門書を読むなどして、独学で技術を習得していた。

不正アクセスの概要は次の通り。

16歳少年の容疑

不正入手した情報の共有
捜査担当

警視庁佐賀県警の合同捜査本部

この事案による17歳少年の押収品

推測 SEI-NETはStrutsベース?

以下はpiyokangoの勝手な推測です。

佐賀県公立小中学校事務研究会という組織が次の資料を公開している。

この資料中に次のURLが確認できるが、恐らくこれがSEI-NETのURLの一部ではないかと思われる。またURLに「.do」が含まれていることからStrutsベースで稼働するWebアプリケーションではないかと思われる。

f:id:Kango:20160627230828p:image:w450

Strutsでは過去にコード実行が可能な脆弱性が確認されている。SEI-NETが不正アクセスを受けた原因もシステムの欠陥ということであるが、事案との因果関係は不明。

更新履歴

*1不正接続、15年4月から 佐賀の17歳 仲間と何度も侵入か,日本経済新聞,2016年6月28日アクセス:魚拓

*2不正アクセス 文科省、佐賀県教委に早急な報告求める,毎日新聞,2016年6月27日アクセス:魚拓

*3佐賀)重要な個人情報も流出 不正アクセス問題,朝日新聞,2016年6月28日アクセス:魚拓

*4佐賀県システムに不正接続=容疑で少年再逮捕へ−警視庁など,時事通信,2016年6月27日アクセス

*5佐賀県、約1万人分の個人情報流出…校務用サーバーなどで9校被害,Resemom,2016年6月27日アクセス:魚拓

*6佐賀県の学校システムに不正アクセス、成績・生徒指導含む15万ファイル漏洩,ITpro,2016年6月27日アクセス

*71年以上前から不正アクセス繰り返し情報入手か,NHK,2016年6月28日アクセス:魚拓

*8佐賀県教育庁、対策せず? 情報流出把握後も不正接続,朝日新聞,2016年6月28日アクセス:魚拓

*9無線LAN通じシステム侵入か,NHK,2016年6月27日アクセス:魚拓

*10独自ソフトで教育情報窃取か 17歳少年、不正指令を送信,中日新聞,2016年6月27日アクセス:魚拓

*11高校生データ21万件盗む 佐賀の17歳ハッカーに称賛相次ぐ,J-CASTニュース,2016年6月27日アクセス:魚拓

*12無線LAN通じシステム侵入か,NHK,2016年6月27日アクセス:魚拓

*13生徒の情報大量漏えい 発覚後にも同じ手口で不正アクセス,NHK,2016年6月28日アクセス:魚拓

*14教育システム管理用ID、生徒が見られる場所に,日本経済新聞,2016年6月28日アクセス:魚拓

*15県教育システムに侵入容疑=少年を再逮捕、生徒情報流出−警視庁など,時事通信,2016年6月27日アクセス

*16少年を不正接続容疑で再逮捕…1万人成績表流出,読売新聞,2016年6月27日アクセス

*176高校の成績情報など流出 不正接続容疑で17歳再逮捕,朝日新聞,2016年6月27日アクセス:魚拓

*18高校生1万人の情報流出 不正アクセス容疑で佐賀の17歳再逮捕,東京新聞,2016年6月27日アクセス:魚拓

*19成績情報に不正アクセス…情報は仲間で共有、自慢のため? ICT先進施策に横やり,産経ニュース,2016年6月28日アクセス:魚拓

*20生徒ら1万人以上の成績・住所が流出 佐賀,日テレNEWS24,2016年6月27日アクセス:魚拓

*21不正アクセス容疑 数万人の情報流出か 17歳少年再逮捕,毎日新聞,2016年6月27日アクセス:魚拓