2020年4月13日、Classi(以下Classi社と記載)は同社のクラウドサービス「Classi」が不正アクセスを受け、IDや暗号化されたパスワード文字列などが閲覧された可能性があると発表しました。ここでは関連する情報をまとめます。
corp.classi.jp
2時間で122万人のIDなどが閲覧された可能性
- Classiへの不正アクセスは4月5日 日曜日の昼過ぎから夕方にかけ発生。発生時間は2時間14分。
- 社内のデータベースで異常発生が検知されたことが発端。データベースが直接被害を受けていたのかは報じられていない。
- Classi社の発表に「外部専門会社の協力を得て不審ファイルや通信ログを解析したところ」とあり、Classi上に何らかのファイルが蔵置されていた可能性がある。
第三者に閲覧された可能性のある情報は次の通り。
- Classi社はこれ以外の情報は不正アクセスの対象とはなっていない、また閲覧された可能性があるのは暗号化されたパスワードの文字列であり、パスワード自体ではないと説明。
- 報道によれば自己紹介文から勤務先や氏名を特定できる教員が11人含まれていた。*1
- 以下の詳細な情報は開示されていない。
- 教員用の自己紹介文は任意入力だが、2,031件が入力された総数だったのかどうか。
- 122万人分の内訳として、生徒だけなのか、教員は含まれるのか。
全国の高校生3人に1人が利用
万全期すためパスワード変更を呼び掛け
https://cdn.classi.jp/password_remind.htmlcdn.classi.jp
- Classi社は13日の発表で利用者に対しパスワード変更の呼びかけを行った。またMFAの導入等、対策強化についても触れている。
- パスワードが漏れていないにもかかわらず変更を呼び掛ける理由として、Classi社は「必要な対応は完了しているが万全を期すため」と説明。
- 4月13日以降、Classiへログインするとパスワード変更のお願いが表示される。
- 対策を終えサービス再開した6日から13日までの間、不正アクセスは発生していない。
- システム上はClassi IDの変更ができるように見えるが、Classi社からの呼びかけでは変更の対象はパスワードのみとなっている。Classi IDが「Classiを利用するためのID」かは不明だが、各校の案内を見るにSASから始まらないIDが対象に含まれる模様。また一部高校ではIDの変更も呼びかけている。
経緯を整理すると次の通り。
| 日時 | 出来事 |
|---|---|
| 2020年4月5日 13時30分 | Classiサービス開発者がフィッシング被害に遭い、Githubの認証情報を窃取。Github上に保管されたソースコードからAWSアクセスキーも併せて窃取。 |
| 同日 14時6分 | 攻撃者がAWSアクセスキーを使い侵入用のサーバーを作成。 |
| 同日 14時44分 | 攻撃者がAWSアクセスキーを用いてDBサーバーのパスワードを再設定。侵入用サーバー経由でDBサーバーに侵入。このDBサーバーのパスワード変更でClassiのサービスが停止。障害アラートを受けClassiが事態覚知。 |
| 同日 14時53分 | 攻撃者によって不正構築されたサーバーから外部へ通信。 |
| 同日 14時56分 | ClassiがDBサーバー復旧作業を行い、攻撃者のDBサーバー接続が遮断。 |
| 同日 15時55分 | ClassiがDBサーバーのパスワード設定を復旧。 |
| 同日 16時19分 | 不正利用されたAWSアクセスキーを無効化。侵入用サーバーを停止。 |
| 同日 16時48分 | 二次攻撃の可能性を考慮し、安全確保までサービス停止を決定。全サーバーを停止。 |
| 同日 18時20分 | Classiがインシデント対策本部立ち上げ。 |
| 2020年4月6日 2時55分 | 「ベネッセHD 情報セキュリティ主管部所に報告。 |
| 同日 3時11分 | ソフトバンク 情報セキュリティ主管部所に報告。 |
| 同日 12時 | インシデント対策本部にて調査、緊急対応方針の確認。 |
| 同日 14時 | 外部セキュリティ企業と調査、緊急対応方針の確認。 |
| 同日 19時30分 | 必要となる対応を完了し、Classiを再開。 |
| 2020年4月11日 | 外部の専門会社の協力等を得て不正アクセスの事実と情報漏えいの可能性があったことが確定。 |
| 2020年4月13日 | Classi社がサービス一時停止の調査報告とパスワード変更のお願いを発表。 |
| 2020年7月24日 | 外部からフォーラム上に流出データとみられる情報の掲載がされていると連絡。 |
| 2020年7月30日 | 窃取された情報が取れたことに伴い、ClassiのWebサイト上での報告と注意喚起。 |
| 2021年5月11日 | 再発防止策の対策状況などを公表。 |
経緯や再発防止策の詳細を公表
- 過去1年にかけ行われた対策について公表。新年度を迎えた利用校が安全に利用してもらうことを目的としたもの。
変更を呼び掛ける利用校
以下はpiyokangoが確認したClassi導入校の今回の件に関連した案内です。
- 東京都立翔陽高等学校 【新入生向け】Classiのパスワード変更のお願い
- 東京女子学園高等学校 Classi パスワード変更のお願い
- 京都府立北嵯峨高等学校 Classi利用のためのパスワード変更のお願い
- 熊本学園大学付属高等学校 Classiパスワードの変更のお願い
- 就実学園 就実高等学校 classiからパスワード変更についてのお願い
- 山脇学園高等学校 Classi パスワード変更のお願い
- 同志社香里高等学校 Classiのパスワード変更について
- 常盤木学園高等学校 Classiパスワード変更について
- 加藤学園高等学校 【保護者・在校生の皆様へ】Classiのパスワード変更のお願いについて
- 岩倉高等学校【新入生含む在校生・保護者の方へ】4月13日における諸連絡事項(ベネッセからのお願いについて)
- 神戸山手女子高等学校 Classiのパスワード変更について
- 日本工業大学駒場高等学校 classiの現状について
- 群馬県立館林女子高等学校 【在校生および保護者の皆様へ】
- 九州学院高等学校 Classi障害調査結果報告に関して
- 浦和麗明高等学校 進路指導部より、2,3年生の生徒と保護者の皆様方へ
- 関西大学北陽高等学校 Classi についての連絡(2)
- 城北学園城北高等学校 Classiのパスワード変更とjohoku.ac.jpのメールの設定のおねがいについて
- 岡山県立笠岡高等学校 【Classi】パスワード変更のお願い
- 明照学園樹徳高等学校 Classi の接続状況について
- 東洋高等学校 第2、3学年保護者および生徒、全教員の皆さんへ
- 宇都宮文星女子高等学校 【重要】Classi パスワード変更のお願い
- 羽衣学園高等学校 Classi パスワード変更方法
- 千葉敬愛学園千葉敬愛高等学校 【全生徒・保護者】:Classiの不具合と今後の連絡方法について
- 箕面自由学園高等学校 Classiサービス一時停止の調査報告とパスワード変更のお願い(運営会社より)
- 九州国際大学付属高等学校 2・3年生へ【連絡】4月14日11:30更新
- 福岡市立福岡西陵高等学校 新入生への連絡
- 聖ウルスラ学院英智高等学校 尚志コース2,3年生の皆さん、保護者の皆様 Classi のパスワード変更のお願い
- 愛媛県立松山工業高等学校 ClassiPWの変更のお願い
- 高崎商科大学付属高等学校 Classiについて確認事項を掲載しましたので、必ずお読み下さい。
- 金襴千里学園中学校高等学校 【緊急(4/13)】【全学年】Classiパスワード変更お願い
- 静岡県立吉原高等学校 【重要なお知らせ】Classiのパスワード変更のお願い
- 福岡県立糸島高等学校 Classi パスワード変更についてのお願い
- 群馬県立太田東高等学校 Classiに関するお知らせ その2
- とわの森三愛高等学校 【(全日制課程)全校生徒の皆さんへ】本校で使用しているClassi(クラッシー)について
- 成田高等学校・付属中学校 Classiトラブルへの対応策について ※中2・中3・高1F~H・高2・高3対象
- 高知県立高知西高等学校 Classi(クラッシー)のパスワード変更のお願い
- 新潟市立高志中等教育学校 Classiの不具合について
- 横浜市立桜丘高等学校 生徒・保護者の皆様へ
- 東奥義塾高等学校 Classi への不正アクセスについて
- 鳳凰高等学校 Classiの緊急メンテナンス結果とパスワードの変更について
- 兵庫県立尼崎北高等学校 Classiの件
- 常翔啓光学園中学校・高等学校 【重要】classiの利用について
- 埼玉県立春日部東高等学校 Classiについてお知らせ(4月14日更新)
- 島根県立松江北高等学校 Classi不正アクセス対策のためのパスワード変更について
- 浦和実業学園高等学校 【在校生用】今後の予定について
- 東京都立第一商業高等学校 Classiを利用している生徒へ
- 千葉学芸高等学校 Classiパスワード再設定のお願い
更新履歴
- 2020年4月15日 AM 新規作成
- 2021年5月17日 AM 続報反映(再発防止策の公表など)
*1:教育サービスに不正アクセス 122万人分の情報閲覧か,NHK,2020年4月13日
*2:クラッシー、全122万人分の情報流出 教育支援アプリ,朝日新聞,2020年4月13日
*3:教育アプリ、122万人ID流出 サイバー攻撃、高校の半数が利用,東京新聞,2020年4月13日
*4:122万人分IDに不正アクセス、教育サイト「クラッシー」,日本経済新聞,2020年4月13日
