2016-06-27
佐賀県の教育情報システム「SEI-NET」と校内ネットワークへの不正アクセス事案についてまとめてみた
インシデントまとめ | |
2016年6月26日、佐賀県の教育情報システム、及び校内ネットワークが不正アクセスを受け、個人情報が漏えいする被害が確認されたと報じられました。ここでは関連情報をまとめます。
公式発表
佐賀県 教育委員会
インシデントタイムライン
不正アクセス関連
日時 | 出来事 |
---|---|
2016年1月16日〜18日 | 17歳少年がSEI-NETへ不正アクセスを行った疑い |
2016年1月20日 | 17歳少年が佐賀県立高校の校内ネットワークへ不正アクセスを行った疑い |
2016年2月15日 | 警視庁より連絡を受け佐賀県教育委員会が事態を把握 |
2016年5月13日 | 16歳少年が校内ネットワークへ不正アクセス |
2016年6月27日 | 佐賀県教育委員会が事案について公表 |
同日 | 文部科学省が佐賀県に対して事実関係の早急な報告を指示。*1 |
逮捕関連
日時 | 出来事 |
---|---|
2016年6月6日 | 17歳少年が不正競争防止法違反の容疑で逮捕 |
2016年6月21日 | 16歳少年を不正アクセス禁止法違反の容疑で佐賀地検へ書類送検 |
2016年6月26日 | SEI-NETへの不正アクセスを受け17歳少年再逮捕の方針であると報道*2 |
2016年6月27日まで | 17歳少年を処分保留として釈放 |
2016年6月27日 | SEI-NETへ不正アクセス禁止法違反の容疑で17歳少年を再逮捕 |
不正アクセスを受けたSEI-NETに関する情報
概要情報
- Saga Education Informaition Networkを略して「SEI-NET」(セイネット)と呼称している。
- 全国に先駆け2013年4月より導入。
- 約13億円をかけて構築した。
- 佐賀県内県立中学校、高校、及び一部の公立小中学校約210校が利用している。
- SEI-NETの管理運用は凸版印刷が行っている。
佐賀県の公開情報
SEI-NETのアクセスコントロール
登録対象者数(2016年5月1日現在)
対象 | 人数 |
---|---|
小中学生 | 3万4739人 |
高校、特別支援学校等の県立学校生 | 5万6590人 |
教職員 | 7987人 |
不正アクセスにより漏えいした情報
重複を除くと48校の内9校が被害を受けており、内訳は次の通り。
校務用サーバーの被害 | 4校 | 教員、生徒の個人情報 | 9,589人分*3 |
---|---|---|---|
学習用サーバーの被害 | 6校 | 主に教材コンテンツ 一部生徒の氏名あり | 不明 |
SEI-NETの被害 | 7校 | 教員、生徒のID、氏名、メールアドレス | 教員579人分 生徒5,502人分 |
校務用サーバーに格納されていた情報の漏えいが重大な被害へとつながった。4校は次の通り。*4
SEI-NETに格納されていた次を含む個人情報が漏えいした。
- 氏名
- 住所
- 電話番号
- 成績
- 生活指導
漏えいしたデータの状況
発端
佐賀県教育委員会が27日まで公表しなかった理由
原因
17歳少年が行ったSEI-NETへの不正アクセスに関する原因は次の通り。
- SEI-NETに何らかの欠陥が存在し、そこを突かれたことによる。
- 欠陥とはシステムのセキュリティの脆弱性であると報じられている。*6
- 凸版印刷は取材に対して犯罪を助長することになるとして詳細な原因は明らかにしていない。*7
17歳少年が行った校内ネットワークへの不正アクセスに関する原因は次の通り。*8
16歳少年が行った不正アクセスに関する原因は次の通り。
- 17歳少年より1校分のログインに必要な情報の提供を受けたことによる。
17歳少年が行った不正アクセスの方法
- (1) あらかじめ何らかの方法で得た生徒のアカウント情報を使ってシステムへ侵入。
- (2) システム内に保存されあ教諭ページへログインするためのID/PWを含むデータファイルを解析。
- (3) 教職員用のID/PWを使ってSEI-NETへアクセスを行っていた。
不正アクセスを受けて佐賀県の対応
- 問い合わせ窓口の設置
- SEI-NETのシステムの改修
- SEI-NETに係るパスワードの変更(現在も不定期で変更している)
不正アクセスを受けて佐賀県知事のコメント
一番大事なところ、漏れてはいけない所が漏れたということは、非常に厳しい状況だなというふうに思います。セキュリティーレベルの問題も含めて、じっくり検証してやっていかないと。
http://www.fnn-news.com/news/headlines/articles/CONN00328803.html
事案、被疑者に関する情報
事案名
教育情報システムに対する不正アクセス禁止法違反事件
不正アクセスの容疑者に関する情報
SEI-NET、または校内ネットワークには複数の人物がかかわった可能性がある。逮捕、または送検された人物は次の通り。
17歳少年の容疑
不正アクセスの概要は次の通り。
- 2016年1月16日〜18日頃、自宅にて2回にわたってほかの生徒2名分のID、パスワードを使って佐賀県 SEI-NETに不正にログインし、少年自らが開発した不正アクセスプログラムを用いてシステムの欠陥を突き、生徒の個人情報が記録されたデータベースへ不正に接続した疑い。*10
- 2016年1月20日0時20分頃に佐賀県立高校付近で同校の校内システムに無線LANを通じて不正にログインした疑い。
16歳少年の容疑
- 不正アクセス禁止法違反の疑い
- 2016年5月に佐賀県県立の高校の校内ネットワークに不正アクセスをした疑い。
- 16歳少年が不正アクセス行ったのは自分の学校の教師のアカウント。*11
- 16歳少年は容疑を認めている。
- 2016年6月21日に書類送検されている。
不正入手した情報の共有
- インターネットを通じて佐賀県内の16歳〜18歳の5〜9人程度の少年と不正入手した情報や手口を共有。*12
- グループ名称は「情報収集会議」*13
- 盗み取った生徒らのIDとパスワードを無料アップロードサイトにアップロードし、成果を自慢していた。
- 成績表などの個人情報は掲載していない。また売買はさらに外部への漏えいも確認されていない。*14
捜査担当
この事案による17歳少年の押収品
推測 SEI-NETはStrutsベース?
以下はpiyokangoの勝手な推測です。
佐賀県公立小中学校事務研究会という組織が次の資料を公開している。
この資料中に次のURLが確認できるが、恐らくこれがSEI-NETのURLの一部ではないかと思われる。またURLに「.do」が含まれていることからStrutsベースで稼働するWebアプリケーションではないかと思われる。
Strutsでは過去にコード実行が可能な脆弱性が確認されている。SEI-NETが不正アクセスを受けた原因もシステムの欠陥ということであるが、事案との因果関係は不明。
更新履歴
- 2016年6月27日 PM 新規作成
*1:不正アクセス 文科省、佐賀県教委に早急な報告求める,毎日新聞,2016年6月27日アクセス:魚拓
*2:佐賀県システムに不正接続=容疑で少年再逮捕へ−警視庁など,時事通信,2016年6月27日アクセス
*3:佐賀県、約1万人分の個人情報流出…校務用サーバーなどで9校被害,Resemom,2016年6月27日アクセス:魚拓
*4:佐賀県の学校システムに不正アクセス、成績・生徒指導含む15万ファイル漏洩,ITpro,2016年6月27日アクセス
*5:無線LAN通じシステム侵入か,NHK,2016年6月27日アクセス:魚拓
*6:独自ソフトで教育情報窃取か 17歳少年、不正指令を送信,中日新聞,2016年6月27日アクセス:魚拓
*7:高校生データ21万件盗む 佐賀の17歳ハッカーに称賛相次ぐ,J-CASTニュース,2016年6月27日アクセス:魚拓
*8:無線LAN通じシステム侵入か,NHK,2016年6月27日アクセス:魚拓
*9:県教育システムに侵入容疑=少年を再逮捕、生徒情報流出−警視庁など,時事通信,2016年6月27日アクセス
*10:少年を不正接続容疑で再逮捕…1万人成績表流出,読売新聞,2016年6月27日アクセス
*11:6高校の成績情報など流出 不正接続容疑で17歳再逮捕,朝日新聞,2016年6月27日アクセス:魚拓
*12:高校生1万人の情報流出 不正アクセス容疑で佐賀の17歳再逮捕,東京新聞,2016年6月27日アクセス:魚拓
*13:生徒ら1万人以上の成績・住所が流出 佐賀,日テレNEWS24,2016年6月27日アクセス:魚拓
*14:不正アクセス容疑 数万人の情報流出か 17歳少年再逮捕,毎日新聞,2016年6月27日アクセス:魚拓