ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2016-06-27

佐賀県の教育情報システム「SEI-NET」と校内ネットワークへの不正アクセス事案についてまとめてみた

| 00:38 | 佐賀県の教育情報システム「SEI-NET」と校内ネットワークへの不正アクセス事案についてまとめてみたを含むブックマーク

2016年6月26日、佐賀県の教育情報システム、及び校内ネットワーク不正アクセスを受け、個人情報が漏えいする被害が確認されたと報じられました。ここでは関連情報をまとめます。

公式発表

佐賀県 教育委員会

インシデントタイムライン

不正アクセス関連

日時出来事
2016年1月16日〜18日17歳少年がSEI-NETへ不正アクセスを行った疑い
2016年1月20日17歳少年が佐賀県立高校の校内ネットワーク不正アクセスを行った疑い
2016年2月15日警視庁より連絡を受け佐賀県教育委員会が事態を把握
2016年5月13日16歳少年が校内ネットワーク不正アクセス
2016年6月27日佐賀県教育委員会が事案について公表
同日文部科学省佐賀県に対して事実関係の早急な報告を指示。*1

逮捕関連

日時出来事
2016年6月6日17歳少年が不正競争防止法違反の容疑で逮捕
2016年6月21日16歳少年を不正アクセス禁止法違反の容疑で佐賀地検書類送検
2016年6月26日SEI-NETへの不正アクセスを受け17歳少年再逮捕の方針であると報道*2
2016年6月27日まで17歳少年を処分保留として釈放
2016年6月27日SEI-NETへ不正アクセス禁止法違反の容疑で17歳少年を再逮捕

不正アクセスを受けたSEI-NETに関する情報

概要情報
  • Saga Education Informaition Networkを略して「SEI-NET」(セイネット)と呼称している。
  • 全国に先駆け2013年4月より導入。
  • 約13億円をかけて構築した。
  • 佐賀県内県立中学校、高校、及び一部の公立小中学校約210校が利用している。
  • SEI-NETの管理運用は凸版印刷が行っている
佐賀県の公開情報
SEI-NETのアクセスコントロール
  • 教員が個人情報にアクセスするには校内ネットワークに接続が必要
  • 児童生徒は校外からはID/PWを入力することでテスト結果や予習、復習を行うことが可能
登録対象者数(2016年5月1日現在)
対象人数
小中学生3万4739人
高校、特別支援学校等の県立学校生5万6590人
教職員7987人

不正アクセスにより漏えいした情報

重複を除くと48校の内9校が被害を受けており、内訳は次の通り。

校務用サーバーの被害4校教員、生徒の個人情報9,589人分*3
学習用サーバーの被害6校主に教材コンテンツ
一部生徒の氏名あり
不明
SEI-NETの被害7校教員、生徒のID、氏名、メールアドレス教員579人分
生徒5,502人分

校務用サーバーに格納されていた情報の漏えいが重大な被害へとつながった。4校は次の通り。*4

SEI-NETに格納されていた次を含む個人情報が漏えいした。

漏えいしたデータの状況
  • 17歳少年のサーバーに約21万ファイルが格納されていた。
  • 個人情報が含まれていたファイルは1,574件。
  • 公教育では過去最大規模の情報漏えい。

発端

佐賀県教育委員会が27日まで公表しなかった理由
  • 警視庁から連絡を受けるまで不正アクセスに気づいておらず、具体的な被害状況を把握できていなかった。 *5
  • 警視庁の捜査に協力する必要があった。
  • 公表したのは警視庁が17歳少年を再逮捕したことによる。

原因

17歳少年が行ったSEI-NETへの不正アクセスに関する原因は次の通り。

  • SEI-NETに何らかの欠陥が存在し、そこを突かれたことによる。
  • 欠陥とはシステムのセキュリティ脆弱性であると報じられている。*6
  • 凸版印刷は取材に対して犯罪を助長することになるとして詳細な原因は明らかにしていない。*7

17歳少年が行った校内ネットワークへの不正アクセスに関する原因は次の通り。*8

  • 高校の近くまで実際に出向き、無線LAN電波を受信。
  • PCの情報を偽装するなどしてシステムの内部に侵入。

16歳少年が行った不正アクセスに関する原因は次の通り。

  • 17歳少年より1校分のログインに必要な情報の提供を受けたことによる。
17歳少年が行った不正アクセスの方法
  • (1) あらかじめ何らかの方法で得た生徒のアカウント情報を使ってシステムへ侵入。
  • (2) システム内に保存されあ教諭ページへログインするためのID/PWを含むデータファイルを解析。
  • (3) 教職員用のID/PWを使ってSEI-NETへアクセスを行っていた。

不正アクセスを受けて佐賀県の対応

  • 問い合わせ窓口の設置
  • SEI-NETのシステムの改修
  • SEI-NETに係るパスワードの変更(現在も不定期で変更している)
不正アクセスを受けて佐賀県知事のコメント

一番大事なところ、漏れてはいけない所が漏れたということは、非常に厳しい状況だなというふうに思います。セキュリティーレベルの問題も含めて、じっくり検証してやっていかないと。

http://www.fnn-news.com/news/headlines/articles/CONN00328803.html
  • SEI-NETは前回の知事の肝いりで、山口知事は慎重な立場だった模様。

事案、被疑者に関する情報

事案名

教育情報システムに対する不正アクセス禁止法違反事件

不正アクセス容疑者に関する情報

SEI-NET、または校内ネットワークには複数の人物がかかわった可能性がある。逮捕、または送検された人物は次の通り。

17歳少年の容疑
  • 不正アクセス禁止法違反
  • 校内ネットワークシステムに合計3回アクセスを行った疑い。*9
  • 17歳少年は容疑をおおむね認めている。
  • 17歳少年は専門書を読むなどして、独学で技術を習得していた。

不正アクセスの概要は次の通り。

16歳少年の容疑
不正入手した情報の共有
捜査担当

警視庁佐賀県警の合同捜査本部

この事案による17歳少年の押収品

推測 SEI-NETはStrutsベース?

以下はpiyokangoの勝手な推測です。

佐賀県公立小中学校事務研究会という組織が次の資料を公開している。

この資料中に次のURLが確認できるが、恐らくこれがSEI-NETのURLの一部ではないかと思われる。またURLに「.do」が含まれていることからStrutsベースで稼働するWebアプリケーションではないかと思われる。

f:id:Kango:20160627230828p:image:w450

Strutsでは過去にコード実行が可能な脆弱性が確認されている。SEI-NETが不正アクセスを受けた原因もシステムの欠陥ということであるが、事案との因果関係は不明。

更新履歴

*1不正アクセス 文科省、佐賀県教委に早急な報告求める,毎日新聞,2016年6月27日アクセス:魚拓

*2佐賀県システムに不正接続=容疑で少年再逮捕へ−警視庁など,時事通信,2016年6月27日アクセス

*3佐賀県、約1万人分の個人情報流出…校務用サーバーなどで9校被害,Resemom,2016年6月27日アクセス:魚拓

*4佐賀県の学校システムに不正アクセス、成績・生徒指導含む15万ファイル漏洩,ITpro,2016年6月27日アクセス

*5無線LAN通じシステム侵入か,NHK,2016年6月27日アクセス:魚拓

*6独自ソフトで教育情報窃取か 17歳少年、不正指令を送信,中日新聞,2016年6月27日アクセス:魚拓

*7高校生データ21万件盗む 佐賀の17歳ハッカーに称賛相次ぐ,J-CASTニュース,2016年6月27日アクセス:魚拓

*8無線LAN通じシステム侵入か,NHK,2016年6月27日アクセス:魚拓

*9県教育システムに侵入容疑=少年を再逮捕、生徒情報流出−警視庁など,時事通信,2016年6月27日アクセス

*10少年を不正接続容疑で再逮捕…1万人成績表流出,読売新聞,2016年6月27日アクセス

*116高校の成績情報など流出 不正接続容疑で17歳再逮捕,朝日新聞,2016年6月27日アクセス:魚拓

*12高校生1万人の情報流出 不正アクセス容疑で佐賀の17歳再逮捕,東京新聞,2016年6月27日アクセス:魚拓

*13生徒ら1万人以上の成績・住所が流出 佐賀,日テレNEWS24,2016年6月27日アクセス:魚拓

*14不正アクセス容疑 数万人の情報流出か 17歳少年再逮捕,毎日新聞,2016年6月27日アクセス:魚拓