piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

佐賀県の教育情報システム「SEI-NET」と校内LANへの不正アクセス事案についてまとめてみた

2016年6月26日、佐賀県の教育情報システム(SEI-NET)、及び校内LANが不正アクセスを受け、個人情報が漏えいする被害が確認されたと報じられました。ここでは関連情報をまとめます。

インシデントタイムライン

不正アクセス関連 (公表前)

日時 出来事
2013年3月 SEI-NET運用開始
2014年4月 佐賀県内で校内LAN整備、県立高校向けにタブレット導入開始
2014年後半 少年らグループが担当教諭をだまし管理者ID、パスワードを入手しようとした?
2015年4月頃 遅くともこの頃から少年らが不正アクセスを始める *1
2015年6月14日 致遠館中高の教員が校内LANへアクセスできなくなっている事象が発生
2015年6月15日 システム保守会社が不審な端末からの接続を確認し、パスワードを変更
同日 システム保守会社が佐賀県教育委員会 教育情報課へ事案について報告
2015年6月18日 致遠館校長が佐賀県教育委員会 教育情報課へ事案について報告
2015年8月 佐賀県監査委員による行政監査でSEI-NETで内部監査が行われていないと指摘。
2016年1月16日〜18日 17歳少年がSEI-NETへ不正アクセスを行った疑い
2016年1月20日 17歳少年が佐賀県立高校の校内LANへ不正アクセスを行った疑い
2016年1月31日 不正視聴事案の捜査を受け、17歳少年のPCが押収
2016年2月15日 警視庁より連絡を受け佐賀県教育庁不正アクセス事案を把握
2016年4月中旬まで 佐賀県が校内無線LAN等パスワードの変更を実施。
2016年5月11日〜13日 16歳少年が校内LANへ不正アクセス
警視庁から管理者のアカウント情報の適切な保護に関して助言
2016年6月20日まで 佐賀県教育委員会が警視庁の助言に基づき是正措置を実施

不正アクセス関連 (公表後)

日時 出来事
2016年6月27日 佐賀県教育委員会が事案について公表
同日 文部科学省佐賀県に対して事実関係の早急な報告を指示。*2
同日 個人情報が漏えいした致遠館中学、同高校で全校集会*3
2016年6月28日 佐賀西高、佐賀東高が全校集会を開催。
同日 佐賀県教育長が佐賀県議会最終本会議で謝罪。*4
同日夜 致遠館中、致遠館高、小城高、佐賀商高、武雄高、佐賀西高、佐賀工高で保護者会を開催。
2016年7月1日 佐賀県教育委員会が関与の可能性のある高校生15人を対象に聞き取りを開始。
同日 佐賀県教育委員会が警視庁へ不正アクセス手法等情報提供の要望書を送付。
2016年7月3日まで 校内LANの運用を停止。*5
2016年7月5日まで 当該事案に対して保護者等からの問い合わせが133件。
2016年7月6日 文部科学省が教育の情報化に伴う情報セキュリティの確保を教育長等に通知。
2016年7月8日 警視庁が佐賀県教育委員会から受けた要望書へ回答。
2016年7月15日 佐賀県教育委員会の聞き取り調査が終了
2016年7月19日 佐賀県教育委員会が聞き取り調査結果を発表
同日 佐賀県教育委員会有識者による第三者調査委の設置と対応方針を発表
2016年8月8日 佐賀県学校教育ネットワークセキュリティ対策検討委員会を設置
2016年8月16日 佐賀県学校教育ネットワークセキュリティ対策検討委員会 第1回開催予定
2016年10月 三者調査委員会が提言を行う予定

事案関連

日時 出来事
2016年6月6日 B-CASの不正視聴プログラムを配布したとして17歳少年が不正競争防止法違反の容疑で逮捕
2016年6月21日 16歳少年を不正アクセス禁止法違反の容疑で佐賀地検書類送検
2016年6月26日 SEI-NETへの不正アクセスを受け17歳少年再逮捕の方針であると報道*6
2016年6月27日まで 17歳少年を処分保留として釈放
2016年6月27日 SEI-NETへ不正アクセス禁止法違反の容疑で17歳少年を再逮捕
2016年7月15日 東京地検が17歳少年を東京家裁へ送致*7
同日 東京家裁佐賀家裁へ移送を決定*8
2016年7月19日 佐賀家庭裁判所が17歳少年の審判を開始。*9
2016年7月25日 16歳少年を佐賀家庭裁判所へ送致。
2016年8月10日 佐賀家裁が17歳少年を少年院送致する保護処分を決定*10

不正アクセスを受けたSEI-NETに関する情報

概要情報
  • Saga Education Informaition Networkを略して「SEI-NET」(セイネット)と呼称している。
  • 全国に先駆け2013年4月より導入。
  • 約13億円をかけて構築した。
  • 佐賀県内県立中学校、高校、及び一部の公立小中学校約210校が利用している。
  • SEI-NETの管理運用は凸版印刷が行っている
SEI-NETのアクセスコントロール
  • 教員が個人情報にアクセスするには校内LANに接続が必要
  • 児童生徒は校外(インターネット)からはID/PWを入力することでテスト結果や予習、復習を行うことが可能(学習管理機能)
登録対象者数(2016年5月1日現在)
対象 人数
小中学生 3万4739人
高校、特別支援学校等の県立学校生 5万6590人
教職員 7987人

不正アクセスにより漏えいした情報

以下は現時点での判明分。16歳少年が行った不正アクセス内容は調査中。*11
重複を除くと48校の内9校が被害を受けており、内訳は次の通り。

不正アクセス被害対象 被害校数 ファイル数 漏えい情報 漏えい件数
校務用サーバー
(校内LAN)
4校

佐賀東高校
佐賀北高校
致遠館高校
致遠館中学校
6,748件
(この内1,574件に個人情報あり)
教員、生徒の個人情報 9,589人分 (精査中) *12
学習用サーバー
(校内LAN)
6校

佐賀北高校
致遠館高校
致遠館中学校
小城小学校
佐賀商業高校
武雄高校
146,423件
(この内1,943件に個人情報あり)
主に教材コンテンツ
一部生徒の氏名、部活動、趣味
調査中
SEI-NET 7校

佐賀北高校
致遠館高校
小城高校
佐賀商業高校
武雄高校
佐賀西高校
佐賀工業高校
7件
(被疑者作成のファイル、すべて個人情報あり)
教員のID、氏名、メールアドレス
生徒のID、氏名
教員579人分
生徒5,502人分
校務用サーバーから漏えいした情報

校務用サーバーに格納されていた次を含む個人情報の漏えいが重大な被害へとつながった。*13

  • 教員、生徒、保護者の氏名、住所、電話番号
  • ID、パスワード
  • 成績
  • 生活指導、家庭調査環境

特に秘匿性の高い情報が漏えいした学校は次の通り。 *14

対象校 秘匿性の高い項目
佐賀北高校 小テストの結果
佐賀東高校 生徒指導に関係する情報
致遠館中学校・高校 模擬試験の偏差値の一部、及び生徒指導に関係する情報
漏えいしたデータの状況 (17歳少年によるもの)
  • 17歳少年のサーバーに約21万ファイルが格納されていた。
  • 校務用サーバーから盗んだ個人情報が含まれていたファイルは1,574件。
  • 公教育では過去最大規模の情報漏えい。
  • 一部のデータで2015年4月頃に取得したとみられる痕跡が確認された。*15
漏えいしたデータの状況 (16歳少年によるもの)
  • 2015年5月〜2016年5月までの名簿、保守業者の業務日誌を収集。*16

発端

佐賀県教育委員会が27日まで公表しなかった理由
  • 警視庁から連絡を受けるまで不正アクセスに気づいておらず、具体的な被害状況を把握できていなかった。 *19
  • 警視庁の捜査に協力する必要があった。
  • 公表したのは警視庁が17歳少年を再逮捕したことによる。

原因

不正アクセスの概要

概要イメージは次の通り。

(1) SEI-NETへの不正アクセス
  • SEI-NETの学習管理のメッセージ機能に脆弱性が存在し、その欠陥を突かれたことによる。
  • メッセージ送信の指定時に自身が在籍する学校の全教職員、生徒の名簿が参照可能な仕様であった。
  • 17歳少年は正規のID、パスワードを用いて、メッセージ機能を通じ名簿から個人情報を入手した。
  • 17歳少年が7校の生徒のID、パスワードを入手した経緯は判明していない。
  • 教職員向けの校務管理への不正アクセス被害は確認されていない。
  • 凸版印刷は取材に対して犯罪を助長することになるとして詳細な原因は明らかにしなかった。*20
(2) 校内LANへの不正アクセス (校内LANへの侵入)
  • 高校付近、または高校内部に侵入し、無線LANの電波を受信。*21
  • 高校へは情報収集会議メンバーの車で移動。
  • 校内LANへの接続にはWPA2-EAP方式のパスワードとMACアドレスを組み合わせた認証が行われていた。
  • PCの情報(MACアドレス)を偽装するなどしてシステムの内部に侵入。
  • パスワードやMACアドレスは何らかの方法で入手したとみられる。

(参考) 佐賀県学習用 PC 等管理・運用等業務委託契約に関する調達仕様書(アーカイブ)には次の記述がある。

オ 不正接続防止システムの監視・運用
各県立学校では、不正接続防止システム(iNetSec SmartFinder)により不正な端末等の校内 LAN への接続を遮断している。本業務では不正接続防止システムの定期的な監視を行い、不正接続等の抑止を行うこと。
また、新規導入や修理、機器の配置換え等によって新たに校内 LAN に接続が必要な端末等がある場合は、県または各学校からの依頼により校内 LAN に接続する端末を不正接続防止システムに登録を行うこと。
なお、本作業においては校内 LAN 運用・保守業者と連携して効率的な運用を実施すること。

(3) 校内LANへの不正アクセス(管理者アカウントの不正取得)
  • 管理者IDを含むファイルが生徒のアカウントで閲覧可能な場所に保管されていた。*22
  • 暗号化して保管していたがある程度の専門知識があれば解読できる状態であった。*23
  • このファイルを解析し管理者アカウントを取得。学校ごとに入手していた。*24
  • 教職員用のアカウントを使用して校務用サーバーなどへ不正アクセスを行っていた。
  • 管理者IDは業者のみが利用するアカウント。
  • 問題のファイルの保管場所は2016年6月まで変更されなかった。*25
  • 2016年7月の取材時点で管理者IDとパスワードを入手した経緯は特定されていない。

(参考) とても眠い人のブログ: 残念だが当然の結果

4月に教材をインストールする際、vbsファイルを用いてインストールしていたのですが
このvbsファイル、 "実行して1秒後に管理者アカウントのパスワードを打ち込んでEnterを押し、指定したbatファイルを実行する"というとてもアレなものでした。
そのため、そのvbsファイルを起動した直後にメモ帳等をアクティブにすればパスワードが丸わかりという・・・
また、そのファイルは普通にずーっと学校でアクセスできるNASに保存されたままという・・・

http://aomasa.blogspot.jp/2016/06/blog-post.html

校内LANのアクセスコントロールは次の通り。*26

アカウント種別 教材等に係る情報 成績・生徒指導等に係る情報 人事異動等に係る情報 設定変更等
管理者アカウント アクセス可能 アクセス可能 アクセス可能 変更可能
教員アカウント アクセス可能 アクセス可能 不可 不可
生徒アカウント アクセス可能 不可 不可 不可
(4) 校内LANへの不正アクセス(16歳少年が行った不正アクセス
  • 17歳少年より1校分の不正アクセス(ログイン方法)に必要な情報の提供を受けたことによる。
  • 2016年2月時点で警察より情報提供を受けていたが、佐賀県側はパスワードは変更したものの原因がわからず3か月後の2016年5月にも同様の手口で不正アクセスが可能であった。*27
  • 16歳少年は配布されたタブレットを使って不正アクセスを行っていた。
(5) 校内LANの内部監査実態
  • 校内LANを対象としたネットワークの内部監査は2013年以降1度も実施されていない。*28
  • 佐賀県情報セキュリティ基本方針で定められている定期的な内部監査の実施に違反していた。
(6) 6月27日に公表されていない2015年6月14日の不正アクセス事案

不正アクセスの概要

  • 致遠館高校の教員が校内LANへ接続できない事象を確認。*29
  • システム保守を行っている委託会社が不審な端末の接続を確認。
  • ファイルのアクセス権限が変更されていたため、管理者用パスワードを変更するなどの対策を実施。
  • 送信されたデータサイズの記録よりこの不正アクセスによる情報漏えいの可能性はないと判断。

エスカレーション状況に関する報道*30

  • システム保守会社、致遠館校長が教育委員会 教育情報課へ報告したが、課長は警察へは通報しなかった。
  • 校内LAN所管の教育総務課には連絡は行われなかった。また委員会内での対応が協議されることもなかった。
  • 当該事案について関係各校への注意喚起、情報提供は行われなかった。
  • この不正アクセスは2016年6月27日では公表されていない。
(7) 聞き取り調査で明らかになったフィッシング事案
  • 2014年後半に情報収集会議メンバーの在籍校で行われた。 *31
  • メンバーの生徒一人が学習用タブレットに偽の入力画面を表示。
  • 画面に問題があると担当教師に嘘をつき、管理者用ID、パスワードを入力させていた。
  • 17歳少年の関与も疑われている。

不正アクセスを受けて佐賀県の対応

  • 問い合わせ窓口の設置
  • SEI-NETのシステムの改修
  • SEI-NETに係るパスワードの変更(現在も不定期で変更している)
  • 生徒、保護者宛に経緯を説明した文書を送付予定。
  • 警視庁への情報提供依頼
  • 関係者への聞き取り*32
警視庁への情報提供他の要望

2016年7月11日を期限として、次の内容の要望を警視庁池上署に対して要望書として提出

  • 押収したPCとは別の場所に漏えいした情報が存在しないことの確認
  • 不正アクセスの詳細な手口の開示
  • 押収したPCからさらに情報が漏えいしないよう措置

その後7月8日に警視庁が佐賀県庁を訪れ、次の通り回答。*33

  • 個人情報の拡散は認められていない。
  • 新たな情報が確認された場合それを提供する。
  • 17歳少年の端末以外に保存されたかは現段階で確認されていない。
  • 不正アクセスの手法は発覚したもの以外は現段階で確認されていない。
  • 押収品から個人情報がさらに漏れない方向で対応する。
佐賀県教育委員会の聞き取り

(1) 聞き取りの概要

  • 2016年7月1日〜15日かけて実施された。
  • 聞き取りの対象は漏えい情報を共有していた可能性のある校内LANの不正アクセス被害を受けた県立7校より高校生15人。16歳少年など情報収集会議メンバー7名が含まれる。
  • 警視庁から提供された情報や少年の交友関係、被害高校の過去の生徒指導情報を元に対象者を選定。拡散状況によっては聞き取り対象は増加する可能性あり。
  • 聞き取り内容は事件の把握状況、漏えいした情報の保持や拡散の確認、不正アクセスの手口や動機に関するもの。
  • 教育委員会は聞き取り対象者が実際に事件に関係したかは把握していない。

(2) 聞き取り調査の結果 *34

  • 窃取した情報は9人のみで共有され、グループ外部への拡散は行われていなかった。
  • 17歳少年と高校生4人で県立高校3校の敷地に合計5回侵入を行っていた。ネットワークへの不正アクセスは17歳少年が担当。
  • 聞き取り対象の8人は不正アクセスへの関与は認められず、この内2人は17歳少年らグループへID、パスワードを教えていた。使途については把握していなかった。
  • 書類送検された16歳少年はICT関連の新情報がないかを知るために行っていたと話している。
不正アクセスを受けたシステムの運用状況]

2年近く変更されていなかったパスワードが2016年2月24日に一斉で変更が行われた模様。

不正アクセスを受けて佐賀県知事のコメント

一番大事なところ、漏れてはいけない所が漏れたということは、非常に厳しい状況だなというふうに思います。セキュリティーレベルの問題も含めて、じっくり検証してやっていかないと。

http://www.fnn-news.com/news/headlines/articles/CONN00328803.html
  • SEI-NETは前回の知事の肝いりで、山口知事は慎重な立場だった模様。

事案、被疑者に関する情報

事案名

教育情報システムに対する不正アクセス禁止法違反事件

不正アクセスの容疑者に関する情報

SEI-NET、または校内LANへの不正アクセスには複数人が関与した可能性がある。逮捕、または送検された人物は次の通り。

17歳少年の容疑
  • 不正アクセス禁止法違反
  • 校内LANのシステムに合計3回アクセスを行った疑い。*35
  • 17歳少年は容疑をおおむね認めている。
  • 17歳少年は専門書を読むなどして、独学で技術を習得していた。
  • 教育機関や教員に恨みがあった」と供述している。*36

不正アクセスの概要は次の通り。

  • 2016年1月16日〜18日頃、自宅にて2回にわたってほかの生徒2名分のID、パスワードを使って佐賀県 SEI-NETに不正にログインし、少年自らが開発した不正アクセスプログラムを用いてシステムの欠陥を突き、生徒の個人情報が記録されたデータベースへ不正に接続した疑い。*37
  • 2016年1月20日0時20分頃に佐賀県立高校付近で同校の校内システムに無線LANを通じて不正にログインした疑い。
16歳少年の容疑

16歳少年の犯行動機

  • 「システムの管理の甘さをインターネット上でからかっていた」と供述。*39
不正入手した情報の共有
  • インターネットを通じて佐賀県内の16歳〜18歳の5〜9人程度の少年と不正入手した情報や手口を共有。*40
  • 小学校時代の友人関係のグループ。*41
  • グループ名称は「情報収集会議」*42
  • 盗み取った生徒らのIDとパスワードを無料アップロードサイトにアップロードし、成果を自慢していた。
  • 成績表などの個人情報は掲載していない。また売買はさらに外部への漏えいも確認されていない。*43
  • システム管理者の業務日報を不正入手し、侵入に気づいていない等グループ内で話題にしていた。*44
捜査担当

警視庁、佐賀県警の合同捜査本部

  • 警視庁 サイバー犯罪対策課、池上警察署
  • 東京都警察情報通信部
  • 佐賀県警察 生活安全課
この事案による17歳少年の押収品
  • デスクトップPC2台
  • ノートPC 2台
  • スマートホン2台
  • 外付けHDD? 1台
  • ディスク3枚

推測 SEI-NETはStrutsベース?

以下はpiyokangoの勝手な推測です。

佐賀県公立小中学校事務研究会という組織が次の資料を公開している。

この資料中に次のURLが確認できるが、恐らくこれがSEI-NETのURLの一部ではないかと思われる。またURLに「.do」が含まれていることからStrutsベースで稼働するWebアプリケーションではないかと思われる。

Strutsでは過去にコード実行が可能な脆弱性が確認されている。SEI-NETが不正アクセスを受けた原因もシステムの欠陥ということであるが、事案との因果関係は不明。

(2016年6月29日 追記)
その後、当該サイトからこのPDFが消されてしまったのか404となっていた。

更新履歴

  • 2016年6月27日 PM 新規作成
  • 2016年6月28日 AM 続報追記 (後追い報道、報道発表、表記校内LANへ修正)
  • 2016年6月29日 PM 続報追記 (公表後の対応、昨年6月不正アクセス等)
  • 2016年6月30日 PM 続報追記 (原因個所等)
  • 2016年7月1日 AM 概要図追記
  • 2016年7月2日 PM 続報追記 (聞き取り等)、小城高校の表記が誤っていたため修正
  • 2016年7月6日 AM 続報追記 (文科省通知等)
  • 2016年7月9日 PM 続報追記 (警視庁からの回答)
  • 2016年7月19日 PM 続報追記 (ITpro報道、17歳少年の送致、県教委聞き取り調査結果公表、概要図更新)
  • 2016年8月10日 AM 続報追記 (第三者調査委設置)

*1:不正接続、15年4月から 佐賀の17歳 仲間と何度も侵入か,日本経済新聞,2016年6月28日アクセス:魚拓

*2:不正アクセス 文科省、佐賀県教委に早急な報告求める,毎日新聞,2016年6月27日アクセス:魚拓

*3:佐賀)重要な個人情報も流出 不正アクセス問題,朝日新聞,2016年6月28日アクセス:魚拓

*4:情報流出 県教育長「深くおわび」,読売新聞,2016年6月29日アクセス

*5:教育システム侵入 高校生15人に聴き取り,佐賀新聞,2016年7月2日アクセス:魚拓

*6:佐賀県システムに不正接続=容疑で少年再逮捕へ−警視庁など,時事通信,2016年6月27日アクセス

*7:不正アクセス禁止法違反、佐賀の17歳少年を家裁送致,朝日新聞,2016年7月19日アクセス:魚拓

*8:佐賀県のシステムに不正アクセスの疑い 少年を家裁送致,NHK,2016年7月19日アクセス:魚拓

*9:高校の成績管理システム侵入、佐賀家裁で17歳少年の審判開始決定,産経ニュース,2016年7月26日アクセス:魚拓

*10:不正アクセスの17歳、少年院送致決定 佐賀家裁,朝日新聞,2016年8月11日アクセス:魚拓

*11:情報流出 1年超前から 警察指摘後も侵入5回 佐賀不正アクセス 佐賀県教委不備認める,西日本新聞,2016年6月29日アクセス:魚拓

*12:佐賀県、約1万人分の個人情報流出…校務用サーバーなどで9校被害,Resemom,2016年6月27日アクセス:魚拓

*13:佐賀県の学校システムに不正アクセス、成績・生徒指導含む15万ファイル漏洩,ITpro,2016年6月27日アクセス

*14:不正アクセス教育システム 8校、被害状況など説明 生徒「セキュリティー高めて」 /佐賀,毎日新聞,2016年6月29日アクセス:魚拓

*15:1年以上前から不正アクセス繰り返し情報入手か,NHK,2016年6月28日アクセス:魚拓

*16:佐賀の不正アクセス、高校生7人が関与 「興味本位」,朝日新聞,2016年7月20日アクセス:魚拓

*17:佐賀県教育庁、対策せず? 情報流出把握後も不正接続,朝日新聞,2016年6月28日アクセス:魚拓

*18:県教育情報システム、昨春から不正侵入か,佐賀新聞,2016年6月29日アクセス:魚拓

*19:無線LAN通じシステム侵入か,NHK,2016年6月27日アクセス:魚拓

*20:高校生データ21万件盗む 佐賀の17歳ハッカーに称賛相次ぐ,J-CASTニュース,2016年6月27日アクセス:魚拓

*21:無線LAN通じシステム侵入か,NHK,2016年6月27日アクセス:魚拓

*22:教育システム管理用ID、生徒が見られる場所に,日本経済新聞,2016年6月28日アクセス:魚拓

*23:「情報先進県」管理は“素人” 佐賀・少年不正アクセス事件,西日本新聞,2016年7月7日アクセス:魚拓

*24:不正アクセス事件1週間、動機や仲間の解明焦点,佐賀新聞,2016年7月7日アクセス:魚拓

*25:佐賀・教育システム 昨年も不正侵入…対応不十分,2016年6月30日アクセス:魚拓

*26:佐賀県教委 情報流出後、対策取らず 今年5月、再び侵入許す,読売新聞,2016年7月1日朝刊

*27:生徒の情報大量漏えい 発覚後にも同じ手口で不正アクセス,NHK,2016年6月28日アクセス:魚拓

*28:佐賀県教委 ネットワークの内部監査行わず,NHK,2016年6月29日アクセス:魚拓

*29:昨年6月にも不正接続=佐賀県立高のシステム−逮捕の少年、関連捜査・警視庁,時事通信,2016年6月29日

*30:県教委、昨年6月に不正アクセス把握も通報せず,佐賀新聞,2016年6月30日アクセス:魚拓

*31:生徒ら高校に侵入、学校の対応面白がる,佐賀新聞,2016年7月20日アクセス:魚拓

*32:佐賀不正アクセス 高校生15人が情報共有か,毎日新聞,2016年7月2日アクセス:魚拓

*33:警視庁、不正アクセス事件で県教委に回答,佐賀新聞,2016年7月9日アクセス:魚拓

*34:佐賀・不正アクセス 7人が「情報収集会議」作り情報交換,毎日新聞,2016年7月19日アクセス:魚拓

*35:県教育システムに侵入容疑=少年を再逮捕、生徒情報流出−警視庁など,時事通信,2016年6月27日アクセス

*36:佐賀の少年「教育機関に恨み」 情報システムに不正侵入,共同通信,2016年7月1日アクセス:魚拓

*37:少年を不正接続容疑で再逮捕…1万人成績表流出,読売新聞,2016年6月27日アクセス

*38:6高校の成績情報など流出 不正接続容疑で17歳再逮捕,朝日新聞,2016年6月27日アクセス:魚拓

*39:佐賀不正アクセス容疑の少年「管理の甘さからかった」,日本経済新聞,2016年6月29日アクセス:魚拓

*40:高校生1万人の情報流出 不正アクセス容疑で佐賀の17歳再逮捕,東京新聞,2016年6月27日アクセス:魚拓

*41:成績情報に不正アクセス…情報は仲間で共有、自慢のため? ICT先進施策に横やり,産経ニュース,2016年6月28日アクセス:魚拓

*42:生徒ら1万人以上の成績・住所が流出 佐賀,日テレNEWS24,2016年6月27日アクセス:魚拓

*43:不正アクセス容疑 数万人の情報流出か 17歳少年再逮捕,毎日新聞,2016年6月27日アクセス:魚拓

*44:「仲間と面白がっていた」佐賀、不正侵入容疑の生徒,共同通信,2016年6月29日アクセス:魚拓