2018年4月4日、前橋市教育委員会は前橋市教育情報ネットワーク(MENET)が不正アクセスを受け、校務用サーバーから児童生徒の個人情報等が漏えいした可能性があると発表しました。ここでは関連情報をまとめます。
公式発表
- 2018年3月28日 前橋市教育委員会ネットワークへの不正アクセスについて(削除済:魚拓)
- 2018年4月4日 前橋市教育委員会からのお知らせとお詫び
- 2018年4月4日 教育ネットワーク対応室(コールセンター)の開設時間について
- 2018年4月19日 前橋市教育委員会ネットワークへの不正アクセスにより流出した可能性のある個人情報の特定について
- 2018年4月20日 前橋市教育委員会ネットワークへの不正アクセスに関わる教育長からのお詫び
- 2018年6月25日 前橋市学校教育ネットワークセキュリティ調査対策検討委員(第三者委員会)の検証報告書を掲載します
- 2018年8月9日 前橋市教育情報ネットワーク(MENET)セキュリティ対策実施方針を決定しました
- 2018年11月9日 教育情報ネットワークの新しい管理体制について
インシデントタイムライン
| 日時 | 出来事 |
|---|---|
| 2017年8月中旬から | 公開サーバーに対し3000回以上の不正アクセスが発生。 |
| 2018年3月6日 | 何者かが校務用サーバーへ不正アクセス。 |
| 2018年3月16日 | 前橋市教育委員会職員が不正アクセスの痕跡を覚知。 |
| 2018年3月17日 | 前橋市教育長は前橋市副市長(市の最高情報責任者)へ報告。 |
| 2018年3月18日 | 前橋市教育員会がNTT東日本を訪問し、システム設定および制限強化を指示。 |
| 2018年3月19日 | 前橋市とNTT東日本で対策会議を実施。 |
| 同日 | 前橋警察署へ不正アクセスの被害相談。 |
| 2018年3月20日 | 群馬県警職員が来庁し、今後の対応を相談。 |
| 2018年3月21日 | 公開サーバーの複製を行い、簡易解析作業を開始。 |
| 2018年3月22日 | NTT東日本より一次調査報告。セキュリティ専門業者へ解析依頼。 |
| 2018年3月23日 | NTT東日本より外部との不正通信を確認したと報告。システムをインターネットから遮断。 |
| 2018年3月26日 | セキュリティ専門業者より個人情報の流出は現時点で確認されていないとの報告。 |
| 2018年3月28日 | 前橋市教育委員会が不正アクセスが確認され調査中と発表。 |
| 2018年3月30日 | セキュリティ専門業者より情報漏えいの可能性があると前橋市教育委員会へ報告。 |
| 2018年4月3日 | 前橋警察署、群馬県警へ解析情報を提供し、不正アクセス禁止法違反で捜査開始。 |
| 2018年4月4日 | 前橋市教育委員会が不正アクセスによる情報漏えいがあったと記者会見し発表。 |
| 2018年4月5日 | 口座情報漏洩にさいして金融機関へ注意喚起情報を提供。 |
| 2018年4月12日 | 前橋市市長が定例記者会見で情報漏えいの可能性について陳謝。 |
| 2018年4月16日 | 第三者調査委員会第1回目会合が開催。 |
| 2018年4月18日 | セキュリティ専門業者から前橋市へ調査結果が報告。さらなる情報流出の可能性を指摘。 |
| 2018年4月19日 | 前橋市教育委員会が漏えいした可能性のある個人情報が新たに追加されたと発表。 |
| 2018年4月30日 | 情報流出の可能性があり、連絡先がわかる保護者に対しておわび状を送付。 |
| 2018年5月上旬 | NTT東日本 群馬支店が前橋市教育委員会へ設定不備などを報告。*1 |
| 2018年5月21日 | 前橋市 市議会教育福祉常任員会でNTT東日本から受けた報告を発表。 |
| 2018年6月25日 | 第三者調査委員会が報告書を前橋市へ提出。 |
| 2018年8月9日 | 前橋市がセキュリティ対策の実施方針を決定し公表。 |
| 2018年8月28日 | 前橋市がNTT東日本 群馬支店へ請求する賠償額が報じられた。 |
| 2018年9月4日 | 前橋市市議会定例会でネットワーク再構築費用等を盛り込んだ補正予算案が提案される見込み。 |
| 2018年9月10日 | 前橋市教育委員会 教育長が月額給与1割を3か月間自主返納する意向。他3名文書注意による訓告処分*2 |
| 2018年11月12日 | 前橋市が教育委員会において新しい管理体制で運用を開始。 |
- 2014年1月にバックドアとみられるプログラムが蔵置されていが、本事案との関連は不明である。
被害状況
概要を整理すると次の通り。
被害の詳細
- 成績、健康診断結果などが保存されている校務用のサーバーが不正アクセスを受けた。
- 不正アクセスを通じて前橋市在籍の児童生徒の個人情報及び、給食費徴収に使用していた口座情報が第三者に漏えいした可能性がある。
| 対象 | 件数 | 漏えいした恐れのある項目 |
|---|---|---|
| 平成24年度から平成29年度前橋市立小中特別支援学校在籍の 児童・生徒の個人情報 |
25,725件 ⇒47,839件に変更 |
・学年 ・組 ・出席番号 ・氏名 ・性別 ・生年月日 ・国籍 ・住所 ・電話番号 ・保護者氏名 ・アレルギー ・既往症 等 |
| 平成24年度から平成29年度の間に前橋市立公立学校(園)で給食喫食していた 園児児童生徒及び教職員の口座情報 |
19,932件 ⇒28,209件に変更 |
・銀行名 ・支店名 ・口座番号 ・名義人氏名 等 |
| 2018年4月4日発表件数 | 25,725人⇒25,226人に訂正 |
| 2018年4月19日新規追加件数 | 22,613人 |
| 合計 | 47,839人 |
発端
不正アクセスの手口
原因
- 公開サーバーが2014年から更新されていなかった。*9
- 規則の順守状況の監査は1年に1回程度行われていたが、2016年、2017年は一度も実施されていなかった。*10
- NTT東日本が行った初期設定の不備により2つのファイアウォールが有効に機能していない状態であった。*11
- ファイアウォールの運用はNTT東日本群馬支店が委託されていた。*12 *13
- NTT東日本は設計に基づく総合試験において、実際に確認されていないにもかかわらず問題となった設定は合格とされていた。
- 2016年に発生した佐賀県教育情報システムの不正アクセス事案を受け、前橋市教育委員会がNTT東日本へ安全性を確認し、同社は基本設計に基づき問題ないと回答していた。*14
対応
復旧等の対応に要した費用
(参考)MENET関連情報
- MENETのネットワーク分類 *19
| 職員系ネットワーク | 主に業務(校務)での利用を目的としたネットワークで,利用者は教職員のみとする。各学校園で,校長室,職員室,保健室,事務室等に敷設された有線ネットワーク。 |
|---|---|
| 児童生徒系ネットワーク | 主に授業での利用を目的としたネットワークで,利用者は児童生徒及び教職員とする。教室,特別教室,体育館等に敷設された有線及び無線ネットワーク。尚,災害時の避難場所として学校を提供する場合は,一時的に地域住民も利用することができる。 |
| データセンター | 校務系サーバー、授業系サーバー、認証・管理系サーバーなど設置。インターネットにも接続。 |
- 公開サーバーはNetCommons2ベースのWebアプリケーションが稼働しているとみられる。
新聞報道
| 新聞社 | 日付 | 見出し |
|---|---|---|
| 読売新聞 | 2018年4月5日朝刊 | 児童ら2万5000人情報流出 前橋 市教委に不正アクセス |
| 朝日新聞 | 2018年4月5日朝刊 | 小中学生2.5万人 個人情報流出か 前橋 不正アクセス |
| 毎日新聞 | 2018年4月5日朝刊 | 児童生徒2万人 個人情報流出か 前橋・不正アクセス |
| 東京新聞 | 2018年4月5日朝刊 | 児童ら個人情報流出か 前橋市教委 小中学校2万5000人分 |
| 日本経済新聞 | 2018年4月5日朝刊 | 個人情報4万件流出か前橋市教委 |
| 産経新聞 | 2018年4月5日朝刊 | 児童・生徒情報 4.5万件流出か 前橋市教委、サーバー更新怠る |
更新履歴
- 2018年4月5日 AM 新規作成
- 2018年4月5日 PM 続報追記
- 2018年4月6日 PM 続報追記
- 2018年4月8日 AM 続報追記
- 2018年4月10日 AM 続報追記、新聞報道欄追加
- 2018年4月13日 PM 続報追記
- 2018年4月17日 PM 続報追記
- 2018年4月21日 AM 続報追記
- 2018年5月22日 PM 続報追記
- 2018年6月26日 PM 続報追記
- 2018年7月6日 PM タイムライン、復旧内訳の誤情報を修正
- 2018年8月9日 PM 続報追記
- 2018年8月29日 PM 続報追記
- 2018年9月10日 PM 続報追記
- 2018年11月10日 AM 続報追記
*1:NTTのファイアウォール設定に不備? 前橋市教委不正アクセス,上毛新聞,2018年5月22日アクセス
*2:前橋市教委不正アクセスで教育長が月額給与1割を自主返納 3カ月間、総額23万円,産経ニュース,2018年9月10日
*3:前橋市教委サーバー 不正アクセスは8か月間に3000回以上,NHK,2018年4月6日アクセス
*4:不正アクセス 3000件 昨年8月、前橋市教委に /群馬,毎日新聞年4月8日アクセス
*5:前橋市教委のネットワークに /群馬,毎日新聞,2018年4月5日アクセス
*6:前橋市教委 不正アクセス 2万人超の個人情報流出,毎日新聞,2018年4月5日アクセス
*7:不正アクセス 小中学生の個人情報流出か(群馬県),NNN,2018年4月5日アクセス
*8:前橋市教委サーバー 昨夏、外部から3000回超攻撃 先月、情報流出か,産経ニュース,4月6日アクセス
*9:個人情報4万5千件流出か 前橋市教委、児童名など ,日本経済新聞,2018年4月5日アクセス
*10:前橋市の個人情報流出問題 内部規則、十分順守せず,東京新聞,2018年4月10日アクセス
*11:小中学生ら個人情報流出か=2万5000人分−前橋市教委,時事通信,2018年4月5日アクセス
*12:前橋市教委サーバー不正アクセス ずさんな情報管理浮き彫り,産経ニュース,2018年4月5日アクセス
*13:前橋市の情報流出問題 山本市長が会見で陳謝「大変な不安与えた」,東京新聞,2018年4月13日アクセス
*14:前橋の個人情報流出問題 NTT、一部不備認める,東京新聞,2018年5月22日アクセス
*15:個人情報流出で第三者委 初会合で委員委嘱 前橋市教委,上毛新聞,2018年4月17日アクセス
*16:生徒情報流出、市教委がNTT支店に賠償請求,読売新聞,2018年8月19日
*17:1億6500万円賠償 NTTに請求へ 不正アクセスで前橋市教委,上毛新聞,2018年8月29日
*18:不正アクセス問題 前橋市教委、第三者委議事録作成せず 「丸投げいいのか」指摘も /群馬,毎日新聞,2018年4月17日アクセス
*19: [PDF] MENETにおいて扱う情報の保護に関する規則
