2016年6月26日、佐賀県の教育情報システム(SEI-NET)、及び校内LANが不正アクセスを受け、個人情報が漏えいする被害が確認されたと報じられました。ここでは関連情報をまとめます。
公式発表
佐賀県
- 2016年6月27日 学校教育ネットワークに係る不正アクセス被害に関する相談窓口を設置しています (魚拓)
- 2016年6月27日 学校教育ネットワークに係る不正アクセス被害がありました (魚拓)
- 2016年8月9日 佐賀県学校教育ネットワークセキュリティ対策検討委員会の設置及び第1回委員会の開催についてお知らせします (魚拓)
- 2016年8月9日 学校教育ネットワークの不正アクセス事案に係る個人情報関連ファイルの調査結果についてお知らせします (魚拓)
佐賀県立小城高等学校
- 2016年6月29日 学校教育ネットワークにおける不正アクセスに係る緊急保護者会について (魚拓)
佐賀県立佐賀西高等学校
- 2016年6月28日 学校教育ネットワークへの不正アクセス事案について (魚拓)
文部科学省
- 2016年7月6日 教育の情報化に伴う情報セキュリティの確保について(通知) (魚拓)
インシデントタイムライン
不正アクセス関連 (公表前)
日時 | 出来事 |
---|---|
2013年3月 | SEI-NET運用開始 |
2014年4月 | 佐賀県内で校内LAN整備、県立高校向けにタブレット導入開始 |
2014年後半 | 少年らグループが担当教諭をだまし管理者ID、パスワードを入手しようとした? |
2015年4月頃 | 遅くともこの頃から少年らが不正アクセスを始める *1 |
2015年6月14日 | 致遠館中高の教員が校内LANへアクセスできなくなっている事象が発生 |
2015年6月15日 | システム保守会社が不審な端末からの接続を確認し、パスワードを変更 |
同日 | システム保守会社が佐賀県教育委員会 教育情報課へ事案について報告 |
2015年6月18日 | 致遠館校長が佐賀県教育委員会 教育情報課へ事案について報告 |
2015年8月 | 佐賀県監査委員による行政監査でSEI-NETで内部監査が行われていないと指摘。 |
2016年1月16日〜18日 | 17歳少年がSEI-NETへ不正アクセスを行った疑い |
2016年1月20日 | 17歳少年が佐賀県立高校の校内LANへ不正アクセスを行った疑い |
2016年1月31日 | 不正視聴事案の捜査を受け、17歳少年のPCが押収 |
2016年2月15日 | 警視庁より連絡を受け佐賀県教育庁が不正アクセス事案を把握 |
2016年4月中旬まで | 佐賀県が校内無線LAN等パスワードの変更を実施。 |
2016年5月11日〜13日 | 16歳少年が校内LANへ不正アクセス |
: | 警視庁から管理者のアカウント情報の適切な保護に関して助言 |
2016年6月20日まで | 佐賀県教育委員会が警視庁の助言に基づき是正措置を実施 |
不正アクセス関連 (公表後)
日時 | 出来事 |
---|---|
2016年6月27日 | 佐賀県教育委員会が事案について公表 |
同日 | 文部科学省が佐賀県に対して事実関係の早急な報告を指示。*2 |
同日 | 個人情報が漏えいした致遠館中学、同高校で全校集会*3 |
2016年6月28日 | 佐賀西高、佐賀東高が全校集会を開催。 |
同日 | 佐賀県教育長が佐賀県議会最終本会議で謝罪。*4 |
同日夜 | 致遠館中、致遠館高、小城高、佐賀商高、武雄高、佐賀西高、佐賀工高で保護者会を開催。 |
2016年7月1日 | 佐賀県教育委員会が関与の可能性のある高校生15人を対象に聞き取りを開始。 |
同日 | 佐賀県教育委員会が警視庁へ不正アクセス手法等情報提供の要望書を送付。 |
2016年7月3日まで | 校内LANの運用を停止。*5 |
2016年7月5日まで | 当該事案に対して保護者等からの問い合わせが133件。 |
2016年7月6日 | 文部科学省が教育の情報化に伴う情報セキュリティの確保を教育長等に通知。 |
2016年7月8日 | 警視庁が佐賀県教育委員会から受けた要望書へ回答。 |
2016年7月15日 | 佐賀県教育委員会の聞き取り調査が終了 |
2016年7月19日 | 佐賀県教育委員会が聞き取り調査結果を発表 |
同日 | 佐賀県教育委員会が有識者による第三者調査委の設置と対応方針を発表 |
2016年8月8日 | 佐賀県学校教育ネットワークセキュリティ対策検討委員会を設置 |
2016年8月16日 | 佐賀県学校教育ネットワークセキュリティ対策検討委員会 第1回開催予定 |
2016年10月 | 第三者調査委員会が提言を行う予定 |
事案関連
日時 | 出来事 |
---|---|
2016年6月6日 | B-CASの不正視聴プログラムを配布したとして17歳少年が不正競争防止法違反の容疑で逮捕 |
2016年6月21日 | 16歳少年を不正アクセス禁止法違反の容疑で佐賀地検へ書類送検 |
2016年6月26日 | SEI-NETへの不正アクセスを受け17歳少年再逮捕の方針であると報道*6 |
2016年6月27日まで | 17歳少年を処分保留として釈放 |
2016年6月27日 | SEI-NETへ不正アクセス禁止法違反の容疑で17歳少年を再逮捕 |
2016年7月15日 | 東京地検が17歳少年を東京家裁へ送致*7 |
同日 | 東京家裁は佐賀家裁へ移送を決定*8 |
2016年7月19日 | 佐賀家庭裁判所が17歳少年の審判を開始。*9 |
2016年7月25日 | 16歳少年を佐賀家庭裁判所へ送致。 |
2016年8月10日 | 佐賀家裁が17歳少年を少年院送致する保護処分を決定*10 |
不正アクセスを受けたSEI-NETに関する情報
概要情報
- Saga Education Informaition Networkを略して「SEI-NET」(セイネット)と呼称している。
- 全国に先駆け2013年4月より導入。
- 約13億円をかけて構築した。
- 佐賀県内県立中学校、高校、及び一部の公立小中学校約210校が利用している。
- SEI-NETの管理運用は凸版印刷が行っている。
佐賀県の公開情報
SEI-NETのアクセスコントロール
- 教員が個人情報にアクセスするには校内LANに接続が必要
- 児童生徒は校外(インターネット)からはID/PWを入力することでテスト結果や予習、復習を行うことが可能(学習管理機能)
登録対象者数(2016年5月1日現在)
対象 | 人数 |
---|---|
小中学生 | 3万4739人 |
高校、特別支援学校等の県立学校生 | 5万6590人 |
教職員 | 7987人 |
不正アクセスにより漏えいした情報
以下は現時点での判明分。16歳少年が行った不正アクセス内容は調査中。*11
重複を除くと48校の内9校が被害を受けており、内訳は次の通り。
不正アクセス被害対象 | 被害校数 | ファイル数 | 漏えい情報 | 漏えい件数 |
---|---|---|---|---|
校務用サーバー (校内LAN) |
4校 佐賀東高校 佐賀北高校 致遠館高校 致遠館中学校 |
6,748件 (この内1,574件に個人情報あり) |
教員、生徒の個人情報 | 9,589人分 (精査中) *12 |
学習用サーバー (校内LAN) |
6校 佐賀北高校 致遠館高校 致遠館中学校 小城小学校 佐賀商業高校 武雄高校 |
146,423件 (この内1,943件に個人情報あり) |
主に教材コンテンツ 一部生徒の氏名、部活動、趣味 |
調査中 |
SEI-NET | 7校 佐賀北高校 致遠館高校 小城高校 佐賀商業高校 武雄高校 佐賀西高校 佐賀工業高校 |
7件 (被疑者作成のファイル、すべて個人情報あり) |
教員のID、氏名、メールアドレス 生徒のID、氏名 |
教員579人分 生徒5,502人分 |
校務用サーバーから漏えいした情報
校務用サーバーに格納されていた次を含む個人情報の漏えいが重大な被害へとつながった。*13
- 教員、生徒、保護者の氏名、住所、電話番号
- ID、パスワード
- 成績
- 生活指導、家庭調査環境
特に秘匿性の高い情報が漏えいした学校は次の通り。 *14
対象校 | 秘匿性の高い項目 |
---|---|
佐賀北高校 | 小テストの結果 |
佐賀東高校 | 生徒指導に関係する情報 |
致遠館中学校・高校 | 模擬試験の偏差値の一部、及び生徒指導に関係する情報 |
漏えいしたデータの状況 (17歳少年によるもの)
- 17歳少年のサーバーに約21万ファイルが格納されていた。
- 校務用サーバーから盗んだ個人情報が含まれていたファイルは1,574件。
- 公教育では過去最大規模の情報漏えい。
- 一部のデータで2015年4月頃に取得したとみられる痕跡が確認された。*15
漏えいしたデータの状況 (16歳少年によるもの)
- 2015年5月〜2016年5月までの名簿、保守業者の業務日誌を収集。*16
発端
原因
不正アクセスの概要
(1) SEI-NETへの不正アクセス
(2) 校内LANへの不正アクセス (校内LANへの侵入)
- 高校付近、または高校内部に侵入し、無線LANの電波を受信。*21
- 高校へは情報収集会議メンバーの車で移動。
- 校内LANへの接続にはWPA2-EAP方式のパスワードとMACアドレスを組み合わせた認証が行われていた。
- PCの情報(MACアドレス)を偽装するなどしてシステムの内部に侵入。
- パスワードやMACアドレスは何らかの方法で入手したとみられる。
(参考) 佐賀県学習用 PC 等管理・運用等業務委託契約に関する調達仕様書(アーカイブ)には次の記述がある。
オ 不正接続防止システムの監視・運用
各県立学校では、不正接続防止システム(iNetSec SmartFinder)により不正な端末等の校内 LAN への接続を遮断している。本業務では不正接続防止システムの定期的な監視を行い、不正接続等の抑止を行うこと。
また、新規導入や修理、機器の配置換え等によって新たに校内 LAN に接続が必要な端末等がある場合は、県または各学校からの依頼により校内 LAN に接続する端末を不正接続防止システムに登録を行うこと。
なお、本作業においては校内 LAN 運用・保守業者と連携して効率的な運用を実施すること。
(3) 校内LANへの不正アクセス(管理者アカウントの不正取得)
- 管理者IDを含むファイルが生徒のアカウントで閲覧可能な場所に保管されていた。*22
- 暗号化して保管していたがある程度の専門知識があれば解読できる状態であった。*23
- このファイルを解析し管理者アカウントを取得。学校ごとに入手していた。*24
- 教職員用のアカウントを使用して校務用サーバーなどへ不正アクセスを行っていた。
- 管理者IDは業者のみが利用するアカウント。
- 問題のファイルの保管場所は2016年6月まで変更されなかった。*25
- 2016年7月の取材時点で管理者IDとパスワードを入手した経緯は特定されていない。
4月に教材をインストールする際、vbsファイルを用いてインストールしていたのですが
http://aomasa.blogspot.jp/2016/06/blog-post.html
このvbsファイル、 "実行して1秒後に管理者アカウントのパスワードを打ち込んでEnterを押し、指定したbatファイルを実行する"というとてもアレなものでした。
そのため、そのvbsファイルを起動した直後にメモ帳等をアクティブにすればパスワードが丸わかりという・・・
また、そのファイルは普通にずーっと学校でアクセスできるNASに保存されたままという・・・
アカウント種別 | 教材等に係る情報 | 成績・生徒指導等に係る情報 | 人事異動等に係る情報 | 設定変更等 |
---|---|---|---|---|
管理者アカウント | アクセス可能 | アクセス可能 | アクセス可能 | 変更可能 |
教員アカウント | アクセス可能 | アクセス可能 | 不可 | 不可 |
生徒アカウント | アクセス可能 | 不可 | 不可 | 不可 |
(5) 校内LANの内部監査実態
不正アクセスを受けて佐賀県の対応
- 問い合わせ窓口の設置
- SEI-NETのシステムの改修
- SEI-NETに係るパスワードの変更(現在も不定期で変更している)
- 生徒、保護者宛に経緯を説明した文書を送付予定。
- 警視庁への情報提供依頼
- 関係者への聞き取り*32
警視庁への情報提供他の要望
2016年7月11日を期限として、次の内容の要望を警視庁池上署に対して要望書として提出
- 押収したPCとは別の場所に漏えいした情報が存在しないことの確認
- 不正アクセスの詳細な手口の開示
- 押収したPCからさらに情報が漏えいしないよう措置
その後7月8日に警視庁が佐賀県庁を訪れ、次の通り回答。*33
- 個人情報の拡散は認められていない。
- 新たな情報が確認された場合それを提供する。
- 17歳少年の端末以外に保存されたかは現段階で確認されていない。
- 不正アクセスの手法は発覚したもの以外は現段階で確認されていない。
- 押収品から個人情報がさらに漏れない方向で対応する。
佐賀県教育委員会の聞き取り
(1) 聞き取りの概要
- 2016年7月1日〜15日かけて実施された。
- 聞き取りの対象は漏えい情報を共有していた可能性のある校内LANの不正アクセス被害を受けた県立7校より高校生15人。16歳少年など情報収集会議メンバー7名が含まれる。
- 警視庁から提供された情報や少年の交友関係、被害高校の過去の生徒指導情報を元に対象者を選定。拡散状況によっては聞き取り対象は増加する可能性あり。
- 聞き取り内容は事件の把握状況、漏えいした情報の保持や拡散の確認、不正アクセスの手口や動機に関するもの。
- 教育委員会は聞き取り対象者が実際に事件に関係したかは把握していない。
(2) 聞き取り調査の結果 *34
不正アクセスを受けて佐賀県知事のコメント
一番大事なところ、漏れてはいけない所が漏れたということは、非常に厳しい状況だなというふうに思います。セキュリティーレベルの問題も含めて、じっくり検証してやっていかないと。
http://www.fnn-news.com/news/headlines/articles/CONN00328803.html
- SEI-NETは前回の知事の肝いりで、山口知事は慎重な立場だった模様。
事案、被疑者に関する情報
事案名
教育情報システムに対する不正アクセス禁止法違反事件
17歳少年の容疑
- 不正アクセス禁止法違反
- 校内LANのシステムに合計3回アクセスを行った疑い。*35
- 17歳少年は容疑をおおむね認めている。
- 17歳少年は専門書を読むなどして、独学で技術を習得していた。
- 「教育機関や教員に恨みがあった」と供述している。*36
不正アクセスの概要は次の通り。
16歳少年の容疑
- 不正アクセス禁止法違反の疑い
- 2016年5月11日〜13日に自分が通う佐賀県県立の高校の校内LANに管理者ID,パスワードを用いて計5回にわたり不正アクセスをした疑い。
- 16歳少年が不正アクセス行ったのは自分の学校の教師のアカウント。*38
- 16歳少年は容疑を認めている。
- 2016年6月21日に書類送検されている。
16歳少年の犯行動機
- 「システムの管理の甘さをインターネット上でからかっていた」と供述。*39
不正入手した情報の共有
この事案による17歳少年の押収品
- デスクトップPC2台
- ノートPC 2台
- スマートホン2台
- 外付けHDD? 1台
- ディスク3枚
推測 SEI-NETはStrutsベース?
以下はpiyokangoの勝手な推測です。
佐賀県公立小中学校事務研究会という組織が次の資料を公開している。
この資料中に次のURLが確認できるが、恐らくこれがSEI-NETのURLの一部ではないかと思われる。またURLに「.do」が含まれていることからStrutsベースで稼働するWebアプリケーションではないかと思われる。
Strutsでは過去にコード実行が可能な脆弱性が確認されている。SEI-NETが不正アクセスを受けた原因もシステムの欠陥ということであるが、事案との因果関係は不明。
更新履歴
- 2016年6月27日 PM 新規作成
- 2016年6月28日 AM 続報追記 (後追い報道、報道発表、表記校内LANへ修正)
- 2016年6月29日 PM 続報追記 (公表後の対応、昨年6月不正アクセス等)
- 2016年6月30日 PM 続報追記 (原因個所等)
- 2016年7月1日 AM 概要図追記
- 2016年7月2日 PM 続報追記 (聞き取り等)、小城高校の表記が誤っていたため修正
- 2016年7月6日 AM 続報追記 (文科省通知等)
- 2016年7月9日 PM 続報追記 (警視庁からの回答)
- 2016年7月19日 PM 続報追記 (ITpro報道、17歳少年の送致、県教委聞き取り調査結果公表、概要図更新)
- 2016年8月10日 AM 続報追記 (第三者調査委設置)
*1:不正接続、15年4月から 佐賀の17歳 仲間と何度も侵入か,日本経済新聞,2016年6月28日アクセス:魚拓
*2:不正アクセス 文科省、佐賀県教委に早急な報告求める,毎日新聞,2016年6月27日アクセス:魚拓
*3:佐賀)重要な個人情報も流出 不正アクセス問題,朝日新聞,2016年6月28日アクセス:魚拓
*4:情報流出 県教育長「深くおわび」,読売新聞,2016年6月29日アクセス
*5:教育システム侵入 高校生15人に聴き取り,佐賀新聞,2016年7月2日アクセス:魚拓
*6:佐賀県システムに不正接続=容疑で少年再逮捕へ−警視庁など,時事通信,2016年6月27日アクセス
*7:不正アクセス禁止法違反、佐賀の17歳少年を家裁送致,朝日新聞,2016年7月19日アクセス:魚拓
*8:佐賀県のシステムに不正アクセスの疑い 少年を家裁送致,NHK,2016年7月19日アクセス:魚拓
*9:高校の成績管理システム侵入、佐賀家裁で17歳少年の審判開始決定,産経ニュース,2016年7月26日アクセス:魚拓
*10:不正アクセスの17歳、少年院送致決定 佐賀家裁,朝日新聞,2016年8月11日アクセス:魚拓
*11:情報流出 1年超前から 警察指摘後も侵入5回 佐賀不正アクセス 佐賀県教委不備認める,西日本新聞,2016年6月29日アクセス:魚拓
*12:佐賀県、約1万人分の個人情報流出…校務用サーバーなどで9校被害,Resemom,2016年6月27日アクセス:魚拓
*13:佐賀県の学校システムに不正アクセス、成績・生徒指導含む15万ファイル漏洩,ITpro,2016年6月27日アクセス
*14:不正アクセス教育システム 8校、被害状況など説明 生徒「セキュリティー高めて」 /佐賀,毎日新聞,2016年6月29日アクセス:魚拓
*15:1年以上前から不正アクセス繰り返し情報入手か,NHK,2016年6月28日アクセス:魚拓
*16:佐賀の不正アクセス、高校生7人が関与 「興味本位」,朝日新聞,2016年7月20日アクセス:魚拓
*17:佐賀県教育庁、対策せず? 情報流出把握後も不正接続,朝日新聞,2016年6月28日アクセス:魚拓
*18:県教育情報システム、昨春から不正侵入か,佐賀新聞,2016年6月29日アクセス:魚拓
*19:無線LAN通じシステム侵入か,NHK,2016年6月27日アクセス:魚拓
*20:高校生データ21万件盗む 佐賀の17歳ハッカーに称賛相次ぐ,J-CASTニュース,2016年6月27日アクセス:魚拓
*21:無線LAN通じシステム侵入か,NHK,2016年6月27日アクセス:魚拓
*22:教育システム管理用ID、生徒が見られる場所に,日本経済新聞,2016年6月28日アクセス:魚拓
*23:「情報先進県」管理は“素人” 佐賀・少年不正アクセス事件,西日本新聞,2016年7月7日アクセス:魚拓
*24:不正アクセス事件1週間、動機や仲間の解明焦点,佐賀新聞,2016年7月7日アクセス:魚拓
*25:佐賀・教育システム 昨年も不正侵入…対応不十分,2016年6月30日アクセス:魚拓
*26:佐賀県教委 情報流出後、対策取らず 今年5月、再び侵入許す,読売新聞,2016年7月1日朝刊
*27:生徒の情報大量漏えい 発覚後にも同じ手口で不正アクセス,NHK,2016年6月28日アクセス:魚拓
*28:佐賀県教委 ネットワークの内部監査行わず,NHK,2016年6月29日アクセス:魚拓
*29:昨年6月にも不正接続=佐賀県立高のシステム−逮捕の少年、関連捜査・警視庁,時事通信,2016年6月29日
*30:県教委、昨年6月に不正アクセス把握も通報せず,佐賀新聞,2016年6月30日アクセス:魚拓
*31:生徒ら高校に侵入、学校の対応面白がる,佐賀新聞,2016年7月20日アクセス:魚拓
*32:佐賀不正アクセス 高校生15人が情報共有か,毎日新聞,2016年7月2日アクセス:魚拓
*33:警視庁、不正アクセス事件で県教委に回答,佐賀新聞,2016年7月9日アクセス:魚拓
*34:佐賀・不正アクセス 7人が「情報収集会議」作り情報交換,毎日新聞,2016年7月19日アクセス:魚拓
*35:県教育システムに侵入容疑=少年を再逮捕、生徒情報流出−警視庁など,時事通信,2016年6月27日アクセス
*36:佐賀の少年「教育機関に恨み」 情報システムに不正侵入,共同通信,2016年7月1日アクセス:魚拓
*37:少年を不正接続容疑で再逮捕…1万人成績表流出,読売新聞,2016年6月27日アクセス
*38:6高校の成績情報など流出 不正接続容疑で17歳再逮捕,朝日新聞,2016年6月27日アクセス:魚拓
*39:佐賀不正アクセス容疑の少年「管理の甘さからかった」,日本経済新聞,2016年6月29日アクセス:魚拓
*40:高校生1万人の情報流出 不正アクセス容疑で佐賀の17歳再逮捕,東京新聞,2016年6月27日アクセス:魚拓
*41:成績情報に不正アクセス…情報は仲間で共有、自慢のため? ICT先進施策に横やり,産経ニュース,2016年6月28日アクセス:魚拓
*42:生徒ら1万人以上の成績・住所が流出 佐賀,日テレNEWS24,2016年6月27日アクセス:魚拓
*43:不正アクセス容疑 数万人の情報流出か 17歳少年再逮捕,毎日新聞,2016年6月27日アクセス:魚拓
*44:「仲間と面白がっていた」佐賀、不正侵入容疑の生徒,共同通信,2016年6月29日アクセス:魚拓