piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

教員用PC貸与が発端となった中学生による校内不正アクセス事案についてまとめてみた

2019年12月4日、新潟県長岡市内の中学校に通う生徒が校内のサーバーに記録された成績表を改ざんを行っていたとして不正アクセス禁止法などの容疑で書類送検されました。19日に中学校の校長が記者会見を行い、管理体制に不備があり保護者や関係者に不安を与えたとして謝罪しました。ここではこの事案に関連する情報をまとめます。

スライドショー作成のために貸与

f:id:piyokango:20191221043842p:plain
事案の概要図

  • 教員が委員会活動のためとして教員用PCを生徒に貸していた。
  • 委員会活動とは具体的には給食時間に発表するスライドショーの準備。全校生徒に学校行事の写真を見せるもの。*1
  • 生徒は自分のPCの性能では作業が追い付かない等と訴え借りていた。*2
  • 使用中は教員が横にいたが、3分ほど教室を離れる時もあった。
  • 生徒による不正行為はパスワード窃取と自宅からのリモート操作により行われていた。

事件に関連するタイムラインを整理すると次の通り。

日時 出来事
2019年6月中旬 教員が生徒に教員用PCを貸し出し。
生徒が教員用PCからサーバーの接続情報を入手。
2019年9月頃 生徒が学校のHDDを窃盗。
2019年9月~10月頃 生徒が教員用PCへ不正アクセスした疑いのある期間。
2019年10月3日 生徒が自分の成績表を改ざん。
2019年10月7日夜 教員が不正操作の疑念のあるタブレット端末を発見。*3
同月 中学校から新潟県警に不正アクセスの被害を相談。HDDの盗難も被害届。生徒の関与が発覚。
2019年12月4日 新潟県警が生徒を不正アクセス禁止法違反などの容疑で新潟地検へ書類送検。
2019年12月18日 複数のマスコミが事案を報道。
2019年12月19日 中学校校長が記者会見し管理体制に不備があったとして謝罪。
(1)教員離席時にパスワード窃取
  • 生徒は2日わたって、教員が目を離した隙に教員用PCで次の行為を行っていた。
1日目 デスクトップ上のショートカットから教員用サーバーのIPアドレスを確認。IPアドレスを紙に記録。
2日目 解析用プログラムを使って、教員用サーバーのID、パスワードを入手。
  • 解析プログラムはインターネット検索を通じて見つけたもの。
  • パスワードを盗み出す行為自体は2~3分程度で完了した。
(2)校内の放置タブレットをリモート操作
  • 学校の生徒用タブレットに遠隔操作が可能なアプリをインストール。
  • 生徒用タブレットから教員用サーバーにネットワーク上は接続することが可能だった。*4
  • 生徒は自身のスマートフォン等からこの生徒用タブレットをリモート操作し、盗んだ認証情報を使って教員用サーバーに接続していた。
  • 昼休み時間中は希望する生徒にコンピューター室が解放されている。
  • 生徒用タブレットはラックにしまわれない置きっぱなしのものがあり、それが悪用された。*5
  • 中学校側はタブレット端末の数を定期的にチェックしていなかった。(1,2個紛失していても気づかなかったと会見でコメント)*6

教員用サーバーに保管されていた情報

  • サーバーには次の内容を含む情報が保管されており、閲覧や変更が出来る状態にあった。
    • 全校生徒の成績記録
    • 行事写真
  • 学校行事や授業の記録写真約10枚を友人に送っていた。
  • 他生徒の成績改ざんや流出は確認されていない。
3教科の成績を改ざん
  • 成績通知表が渡される前日に改ざんし、親に見せるために印刷していた。*7
  • 生徒が成績の改ざんを行ったのは「社会」、「美術」、「技術家庭」。*8
  • 5段階の成績評価で「3」から「4」に書き換えを行っていた。「2」を「5」にするような変更は行われていなかった。

当初の動機は写真の閲覧

不正行為に対し、生徒は以下が理由だったと話している。

教員用サーバーの不正アクセス ・サーバーに保管された写真を見るため
・色々な場面でためらうこともあったが、好奇心が勝って続けてしまった
成績表の改ざん ・親に良い成績を見せたかったため
・高校入試が有利になると思った

学校のハードディスクも窃盗

  • 不正アクセス行為の前に生徒は職員用のハードディスクの窃盗も行っていた。
  • 生徒は郊外にHDDを持ち出したが中身は確認できなかった。*9

中学校から被害届を受け事案化

  • 新潟県警は生徒を不正アクセス禁止法違反、窃盗の容疑で書類送検。
  • 送検されたのは新潟県長岡市内の中学校に通う3年の生徒。
  • 2019年9月~10月頃、自身の通う中学校のタブレット端末を遠隔操作アプリで操作し、事前に入手した認証情報を使い教員用サーバーに不正アクセスし自分の成績表を改ざんするなどした疑い。
  • 生徒は容疑を認めている。*10
  • 中学校校長は生徒を「以前からコンピューターに興味がある子」と説明していた。

事案発生に伴うデマ


次のようなデマがTwitterや掲示板などで流れていた。

  • 成績を全てオール5にした
  • 成績を全て10000000点にし、他生徒を-9000000000000点にした。

更新履歴

  • 2019年12月21日 AM 新規作成