ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2016-06-27

佐賀県の教育情報システム「SEI-NET」と校内LANへの不正アクセス事案についてまとめてみた

| 00:38 | 佐賀県の教育情報システム「SEI-NET」と校内LANへの不正アクセス事案についてまとめてみたを含むブックマーク

2016年6月26日、佐賀県の教育情報システム(SEI-NET)、及び校内LAN不正アクセスを受け、個人情報が漏えいする被害が確認されたと報じられました。ここでは関連情報をまとめます。

公式発表

佐賀県
佐賀県立小城高等学校
佐賀県立佐賀西高等学校
文部科学省

インシデントタイムライン

不正アクセス関連 (公表前)

日時出来事
2013年3月SEI-NET運用開始
2014年4月佐賀県内で校内LAN整備、県立高校向けにタブレット導入開始
2014年後半少年らグループが担当教諭をだまし管理者ID、パスワードを入手しようとした?
2015年4月頃遅くともこの頃から少年らが不正アクセスを始める *1
2015年6月14日致遠館中高の教員が校内LANへアクセスできなくなっている事象が発生
2015年6月15日システム保守会社が不審な端末からの接続を確認し、パスワードを変更
同日システム保守会社が佐賀県教育委員会 教育情報課へ事案について報告
2015年6月18日致遠館校長が佐賀県教育委員会 教育情報課へ事案について報告
2015年8月佐賀県監査委員による行政監査でSEI-NETで内部監査が行われていないと指摘。
2016年1月16日〜18日17歳少年がSEI-NETへ不正アクセスを行った疑い
2016年1月20日17歳少年が佐賀県立高校の校内LAN不正アクセスを行った疑い
2016年1月31日不正視聴事案の捜査を受け、17歳少年のPCが押収
2016年2月15日警視庁より連絡を受け佐賀県教育庁不正アクセス事案を把握
2016年4月中旬まで佐賀県が校内無線LANパスワードの変更を実施。
2016年5月11日〜13日16歳少年が校内LAN不正アクセス
警視庁から管理者アカウント情報の適切な保護に関して助言
2016年6月20日まで佐賀県教育委員会警視庁の助言に基づき是正措置を実施

不正アクセス関連 (公表後)

日時出来事
2016年6月27日佐賀県教育委員会が事案について公表
同日文部科学省佐賀県に対して事実関係の早急な報告を指示。*2
同日個人情報が漏えいした致遠館中学、同高校で全校集会*3
2016年6月28日佐賀西高、佐賀東高が全校集会を開催。
同日佐賀県教育長佐賀県議会最終本会議謝罪*4
同日夜致遠館中、致遠館高、小城高、佐賀商高、武雄高、佐賀西高、佐賀工高で保護者会を開催。
2016年7月1日佐賀県教育委員会が関与の可能性のある高校生15人を対象に聞き取りを開始。
同日佐賀県教育委員会警視庁不正アクセス手法情報提供の要望書を送付。
2016年7月3日まで校内LANの運用を停止。*5
2016年7月5日まで当該事案に対して保護者等からの問い合わせが133件。
2016年7月6日文部科学省が教育の情報化に伴う情報セキュリティの確保を教育長等に通知。
2016年7月8日警視庁佐賀県教育委員会から受けた要望書へ回答。
2016年7月15日佐賀県教育委員会の聞き取り調査が終了
2016年7月19日佐賀県教育委員会が聞き取り調査結果を発表
同日佐賀県教育委員会有識者による第三者調査委の設置と対応方針を発表
2016年8月第三者調査委員会を設置予定
2016年10月第三者調査委員会が提言を行う予定

事案関連

日時出来事
2016年6月6日B-CASの不正視聴プログラムを配布したとして17歳少年が不正競争防止法違反の容疑で逮捕
2016年6月21日16歳少年を不正アクセス禁止法違反の容疑で佐賀地検書類送検
2016年6月26日SEI-NETへの不正アクセスを受け17歳少年再逮捕の方針であると報道*6
2016年6月27日まで17歳少年を処分保留として釈放
2016年6月27日SEI-NETへ不正アクセス禁止法違反の容疑で17歳少年を再逮捕
2016年7月15日東京地検が17歳少年を東京家裁へ送致*7
同日東京家裁佐賀家裁へ移送を決定*8

不正アクセスを受けたSEI-NETに関する情報

概要情報
  • Saga Education Informaition Networkを略して「SEI-NET」(セイネット)と呼称している。
  • 全国に先駆け2013年4月より導入。
  • 約13億円をかけて構築した。
  • 佐賀県内県立中学校、高校、及び一部の公立小中学校約210校が利用している。
  • SEI-NETの管理運用は凸版印刷が行っている
佐賀県の公開情報
SEI-NETのアクセスコントロール
  • 教員が個人情報にアクセスするには校内LANに接続が必要
  • 児童生徒は校外(インターネット)からはID/PWを入力することでテスト結果や予習、復習を行うことが可能(学習管理機能)
登録対象者数(2016年5月1日現在)
対象人数
小中学生3万4739人
高校、特別支援学校等の県立学校生5万6590人
職員7987人

不正アクセスにより漏えいした情報

以下は現時点での判明分。16歳少年が行った不正アクセス内容は調査中。*9

重複を除くと48校の内9校が被害を受けており、内訳は次の通り。

不正アクセス被害対象被害校数ファイル数漏えい情報漏えい件数
校務用サーバー
(校内LAN)
4校

佐賀東高校
佐賀北高校
致遠館高校
致遠館中学校
約7,000件教員、生徒の個人情報9,589人分 (精査中) *10
学習用サーバー
(校内LAN)
6校

佐賀北高校
致遠館高校
致遠館中学校
小城小学校
佐賀商業高校
武雄高校
約14万6千件主に教材コンテンツ
一部生徒の氏名、部活動、趣味
調査中
SEI-NET7校

佐賀北高校
致遠館高校
小城高校
佐賀商業高校
武雄高校
佐賀西高校
佐賀工業高校
7件
(被疑者作成のファイル)
教員のID、氏名、メールアドレス
生徒のID、氏名
教員579人分
生徒5,502人分
校務用サーバーから漏えいした情報

校務用サーバーに格納されていた次を含む個人情報の漏えいが重大な被害へとつながった。*11

特に秘匿性の高い情報が漏えいした学校は次の通り。 *12

対象校秘匿性の高い項目
佐賀北高校小テストの結果
佐賀東高校生徒指導に関係する情報
致遠館中学校・高校模擬試験偏差値の一部、及び生徒指導に関係する情報
漏えいしたデータの状況 (17歳少年によるもの)
  • 17歳少年のサーバーに約21万ファイルが格納されていた。
  • 校務用サーバーから盗んだ個人情報が含まれていたファイルは1,574件。
  • 公教育では過去最大規模の情報漏えい。
  • 一部のデータで2015年4月頃に取得したとみられる痕跡が確認された。*13
漏えいしたデータの状況 (16歳少年によるもの)

発端

佐賀県教育委員会が27日まで公表しなかった理由
  • 警視庁から連絡を受けるまで不正アクセスに気づいておらず、具体的な被害状況を把握できていなかった。 *17
  • 警視庁の捜査に協力する必要があった。
  • 公表したのは警視庁が17歳少年を再逮捕したことによる。

原因

不正アクセスの概要

概要イメージは次の通り。

f:id:Kango:20160720002528p:image:w640

(1) SEI-NETへの不正アクセス
  • SEI-NETの学習管理のメッセージ機能に脆弱性が存在し、その欠陥を突かれたことによる。
  • メッセージ送信の指定時に自身が在籍する学校の全教職員、生徒の名簿が参照可能な仕様であった。
  • 17歳少年は正規のID、パスワードを用いて、メッセージ機能を通じ名簿から個人情報を入手した。
  • 17歳少年が7校の生徒のID、パスワードを入手した経緯は判明していない。
  • 職員向けの校務管理への不正アクセス被害は確認されていない。
  • 凸版印刷は取材に対して犯罪を助長することになるとして詳細な原因は明らかにしなかった。*18
(2) 校内LANへの不正アクセス (校内LANへの侵入)

(参考) 佐賀県学習用 PC 等管理・運用等業務委託契約に関する調達仕様書(アーカイブ)には次の記述がある。

オ 不正接続防止システムの監視・運用

各県立学校では、不正接続防止システム(iNetSec SmartFinder)により不正な端末等の校内 LAN への接続を遮断している。本業務では不正接続防止システムの定期的な監視を行い、不正接続等の抑止を行うこと。

また、新規導入や修理、機器の配置換え等によって新たに校内 LAN に接続が必要な端末等がある場合は、県または各学校からの依頼により校内 LAN に接続する端末を不正接続防止システムに登録を行うこと。

なお、本作業においては校内 LAN 運用・保守業者と連携して効率的な運用を実施すること。

(3) 校内LANへの不正アクセス管理者アカウントの不正取得)

(参考) とても眠い人のブログ: 残念だが当然の結果

4月に教材をインストールする際、vbsファイルを用いてインストールしていたのですが

このvbsファイル、 "実行して1秒後に管理者アカウントパスワードを打ち込んでEnterを押し、指定したbatファイルを実行する"というとてもアレなものでした。

そのため、そのvbsファイルを起動した直後にメモ帳等をアクティブにすればパスワードが丸わかりという・・・

また、そのファイルは普通にずーっと学校でアクセスできるNASに保存されたままという・・・

http://aomasa.blogspot.jp/2016/06/blog-post.html

校内LANのアクセスコントロールは次の通り。*24

アカウント種別教材等に係る情報成績・生徒指導等に係る情報人事異動等に係る情報設定変更等
管理者アカウントアクセス可能アクセス可能アクセス可能変更可能
教員アカウントアクセス可能アクセス可能不可不可
生徒アカウントアクセス可能不可不可不可
(4) 校内LANへの不正アクセス(16歳少年が行った不正アクセス
(5) 校内LANの内部監査実態
(6) 6月27日に公表されていない2015年6月14日の不正アクセス事案

不正アクセスの概要

エスカレーション状況に関する報道*28

  • システム保守会社、致遠館校長が教育委員会 教育情報課へ報告したが、課長は警察へは通報しなかった。
  • 校内LAN所管の教育総務課には連絡は行われなかった。また委員会内での対応が協議されることもなかった。
  • 当該事案について関係各校への注意喚起、情報提供は行われなかった。
  • この不正アクセス2016年6月27日では公表されていない。
(7) 聞き取り調査で明らかになったフィッシング事案
  • 2014年後半に情報収集会議メンバーの在籍校で行われた。 *29
  • メンバーの生徒一人が学習用タブレットに偽の入力画面を表示。
  • 画面に問題があると担当教師に嘘をつき、管理者用ID、パスワードを入力させていた。
  • 17歳少年の関与も疑われている。

不正アクセスを受けて佐賀県の対応

  • 問い合わせ窓口の設置
  • SEI-NETのシステムの改修
  • SEI-NETに係るパスワードの変更(現在も不定期で変更している)
  • 生徒、保護者宛に経緯を説明した文書を送付予定。
  • 警視庁への情報提供依頼
  • 関係者への聞き取り*30
警視庁への情報提供他の要望

2016年7月11日を期限として、次の内容の要望を警視庁池上署に対して要望書として提出

  • 押収したPCとは別の場所に漏えいした情報が存在しないことの確認
  • 不正アクセスの詳細な手口の開示
  • 押収したPCからさらに情報が漏えいしないよう措置

その後7月8日に警視庁佐賀県庁を訪れ、次の通り回答。*31

  • 個人情報の拡散は認められていない。
  • 新たな情報が確認された場合それを提供する。
  • 17歳少年の端末以外に保存されたかは現段階で確認されていない。
  • 不正アクセス手法は発覚したもの以外は現段階で確認されていない。
  • 押収品から個人情報がさらに漏れない方向で対応する。
佐賀県教育委員会の聞き取り

(1) 聞き取りの概要

  • 2016年7月1日〜15日かけて実施された。
  • 聞き取りの対象は漏えい情報を共有していた可能性のある校内LAN不正アクセス被害を受けた県立7校より高校生15人。16歳少年など情報収集会議メンバー7名が含まれる。
  • 警視庁から提供された情報や少年の交友関係、被害高校の過去の生徒指導情報を元に対象者を選定。拡散状況によっては聞き取り対象は増加する可能性あり。
  • 聞き取り内容は事件の把握状況、漏えいした情報の保持や拡散の確認、不正アクセスの手口や動機に関するもの。
  • 教育委員会は聞き取り対象者が実際に事件に関係したかは把握していない。

(2) 聞き取り調査の結果 *32

  • 窃取した情報は9人のみで共有され、グループ外部への拡散は行われていなかった。
  • 17歳少年と高校生4人で県立高校3校の敷地に合計5回侵入を行っていた。ネットワークへの不正アクセスは17歳少年が担当。
  • 聞き取り対象の8人は不正アクセスへの関与は認められず、この内2人は17歳少年らグループへID、パスワードを教えていた。使途については把握していなかった。
  • 書類送検された16歳少年はICT関連の新情報がないかを知るために行っていたと話している。
不正アクセスを受けたシステムの運用状況]

2年近く変更されていなかったパスワード2016年2月24日に一斉で変更が行われた模様。

不正アクセスを受けて佐賀県知事のコメント

一番大事なところ、漏れてはいけない所が漏れたということは、非常に厳しい状況だなというふうに思います。セキュリティーレベルの問題も含めて、じっくり検証してやっていかないと。

http://www.fnn-news.com/news/headlines/articles/CONN00328803.html
  • SEI-NETは前回の知事の肝いりで、山口知事は慎重な立場だった模様。

事案、被疑者に関する情報

事案名

教育情報システムに対する不正アクセス禁止法違反事件

不正アクセス容疑者に関する情報

SEI-NET、または校内LANへの不正アクセスには複数人が関与した可能性がある。逮捕、または送検された人物は次の通り。

17歳少年の容疑
  • 不正アクセス禁止法違反
  • 校内LANのシステムに合計3回アクセスを行った疑い。*33
  • 17歳少年は容疑をおおむね認めている。
  • 17歳少年は専門書を読むなどして、独学で技術を習得していた。
  • 教育機関や教員に恨みがあった」と供述している。*34

不正アクセスの概要は次の通り。

16歳少年の容疑

16歳少年の犯行動機

不正入手した情報の共有
  • インターネットを通じて佐賀県内の16歳〜18歳の5〜9人程度の少年と不正入手した情報や手口を共有。*38
  • 小学校時代の友人関係のグループ。*39
  • グループ名称は「情報収集会議」*40
  • 盗み取った生徒らのIDとパスワードを無料アップロードサイトにアップロードし、成果を自慢していた。
  • 成績表などの個人情報は掲載していない。また売買はさらに外部への漏えいも確認されていない。*41
  • システム管理者の業務日報を不正入手し、侵入に気づいていない等グループ内で話題にしていた。*42
捜査担当

警視庁佐賀県警の合同捜査本部

この事案による17歳少年の押収品

推測 SEI-NETはStrutsベース?

以下はpiyokangoの勝手な推測です。

佐賀県公立小中学校事務研究会という組織が次の資料を公開している。

この資料中に次のURLが確認できるが、恐らくこれがSEI-NETのURLの一部ではないかと思われる。またURLに「.do」が含まれていることからStrutsベースで稼働するWebアプリケーションではないかと思われる。

f:id:Kango:20160627230828p:image:w450

Strutsでは過去にコード実行が可能な脆弱性が確認されている。SEI-NETが不正アクセスを受けた原因もシステムの欠陥ということであるが、事案との因果関係は不明。

(2016年6月29日 追記)

その後、当該サイトからこのPDFが消されてしまったのか404となっていた。

f:id:Kango:20160629235950p:image:w360

更新履歴

*1不正接続、15年4月から 佐賀の17歳 仲間と何度も侵入か,日本経済新聞,2016年6月28日アクセス:魚拓

*2不正アクセス 文科省、佐賀県教委に早急な報告求める,毎日新聞,2016年6月27日アクセス:魚拓

*3佐賀)重要な個人情報も流出 不正アクセス問題,朝日新聞,2016年6月28日アクセス:魚拓

*4情報流出 県教育長「深くおわび」,読売新聞,2016年6月29日アクセス

*5教育システム侵入 高校生15人に聴き取り,佐賀新聞,2016年7月2日アクセス:魚拓

*6佐賀県システムに不正接続=容疑で少年再逮捕へ−警視庁など,時事通信,2016年6月27日アクセス

*7不正アクセス禁止法違反、佐賀の17歳少年を家裁送致,朝日新聞,2016年7月19日アクセス:魚拓

*8佐賀県のシステムに不正アクセスの疑い 少年を家裁送致,NHK,2016年7月19日アクセス:魚拓

*9情報流出 1年超前から 警察指摘後も侵入5回 佐賀不正アクセス 佐賀県教委不備認める,西日本新聞,2016年6月29日アクセス:魚拓

*10佐賀県、約1万人分の個人情報流出…校務用サーバーなどで9校被害,Resemom,2016年6月27日アクセス:魚拓

*11佐賀県の学校システムに不正アクセス、成績・生徒指導含む15万ファイル漏洩,ITpro,2016年6月27日アクセス

*12不正アクセス教育システム 8校、被害状況など説明 生徒「セキュリティー高めて」 /佐賀,毎日新聞,2016年6月29日アクセス:魚拓

*131年以上前から不正アクセス繰り返し情報入手か,NHK,2016年6月28日アクセス:魚拓

*14佐賀の不正アクセス、高校生7人が関与 「興味本位」,朝日新聞,2016年7月20日アクセス:魚拓

*15佐賀県教育庁、対策せず? 情報流出把握後も不正接続,朝日新聞,2016年6月28日アクセス:魚拓

*16県教育情報システム、昨春から不正侵入か,佐賀新聞,2016年6月29日アクセス:魚拓

*17無線LAN通じシステム侵入か,NHK,2016年6月27日アクセス:魚拓

*18高校生データ21万件盗む 佐賀の17歳ハッカーに称賛相次ぐ,J-CASTニュース,2016年6月27日アクセス:魚拓

*19無線LAN通じシステム侵入か,NHK,2016年6月27日アクセス:魚拓

*20教育システム管理用ID、生徒が見られる場所に,日本経済新聞,2016年6月28日アクセス:魚拓

*21「情報先進県」管理は“素人” 佐賀・少年不正アクセス事件,西日本新聞,2016年7月7日アクセス:魚拓

*22不正アクセス事件1週間、動機や仲間の解明焦点,佐賀新聞,2016年7月7日アクセス:魚拓

*23佐賀・教育システム 昨年も不正侵入…対応不十分,2016年6月30日アクセス:魚拓

*24佐賀県教委 情報流出後、対策取らず 今年5月、再び侵入許す,読売新聞,2016年7月1日朝刊

*25生徒の情報大量漏えい 発覚後にも同じ手口で不正アクセス,NHK,2016年6月28日アクセス:魚拓

*26佐賀県教委 ネットワークの内部監査行わず,NHK,2016年6月29日アクセス:魚拓

*27昨年6月にも不正接続=佐賀県立高のシステム−逮捕の少年、関連捜査・警視庁,時事通信,2016年6月29日

*28県教委、昨年6月に不正アクセス把握も通報せず,佐賀新聞,2016年6月30日アクセス:魚拓

*29生徒ら高校に侵入、学校の対応面白がる,佐賀新聞,2016年7月20日アクセス:魚拓

*30佐賀不正アクセス 高校生15人が情報共有か,毎日新聞,2016年7月2日アクセス:魚拓

*31警視庁、不正アクセス事件で県教委に回答,佐賀新聞,2016年7月9日アクセス:魚拓

*32佐賀・不正アクセス 7人が「情報収集会議」作り情報交換,毎日新聞,2016年7月19日アクセス:魚拓

*33県教育システムに侵入容疑=少年を再逮捕、生徒情報流出−警視庁など,時事通信,2016年6月27日アクセス

*34佐賀の少年「教育機関に恨み」 情報システムに不正侵入,共同通信,2016年7月1日アクセス:魚拓

*35少年を不正接続容疑で再逮捕…1万人成績表流出,読売新聞,2016年6月27日アクセス

*366高校の成績情報など流出 不正接続容疑で17歳再逮捕,朝日新聞,2016年6月27日アクセス:魚拓

*37佐賀不正アクセス容疑の少年「管理の甘さからかった」,日本経済新聞,2016年6月29日アクセス:魚拓

*38高校生1万人の情報流出 不正アクセス容疑で佐賀の17歳再逮捕,東京新聞,2016年6月27日アクセス:魚拓

*39成績情報に不正アクセス…情報は仲間で共有、自慢のため? ICT先進施策に横やり,産経ニュース,2016年6月28日アクセス:魚拓

*40生徒ら1万人以上の成績・住所が流出 佐賀,日テレNEWS24,2016年6月27日アクセス:魚拓

*41不正アクセス容疑 数万人の情報流出か 17歳少年再逮捕,毎日新聞,2016年6月27日アクセス:魚拓

*42「仲間と面白がっていた」佐賀、不正侵入容疑の生徒,共同通信,2016年6月29日アクセス:魚拓