piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

国内高校の半数が利用するClassiの不正アクセスについてまとめてみた

2020年4月13日、Classi(以下Classi社と記載)は同社のクラウドサービス「Classi」が不正アクセスを受け、IDや暗号化されたパスワード文字列などが閲覧された可能性があると発表しました。ここでは関連する情報をまとめます。
corp.classi.jp

2時間で122万人のIDなどが閲覧された可能性

f:id:piyokango:20200415062004p:plain
不正アクセスの概要

  • Classiへの不正アクセスは4月5日 日曜日の昼過ぎから夕方にかけ発生。発生時間は2時間14分。
  • 社内のデータベースで異常発生が検知されたことが発端。データベースが直接被害を受けていたのかは報じられていない。
  • Classi社の発表に「外部専門会社の協力を得て不審ファイルや通信ログを解析したところ」とあり、Classi上に何らかのファイルが蔵置されていた可能性がある。

第三者に閲覧された可能性のある情報は次の通り。

f:id:piyokango:20200415062142p:plain
閲覧された可能性のある情報

  • Classi社はこれ以外の情報は不正アクセスの対象とはなっていない、また閲覧された可能性があるのは暗号化されたパスワードの文字列であり、パスワード自体ではないと説明。
  • 報道によれば自己紹介文から勤務先や氏名を特定できる教員が11人含まれていた。*1
  • 以下の詳細な情報は開示されていない。
    • 教員用の自己紹介文は任意入力だが、2,031件が入力された総数だったのかどうか。
    • 122万人分の内訳として、生徒だけなのか、教員は含まれるのか。

全国の高校生3人に1人が利用

  • Classiは全国の高校、中高一貫校約2,800校で導入されており、報道によれば全国の高校の半数、3分の1の高校生が利用している。*2 *3
  • ベネッセグループの他サービスへの不正アクセス、影響は4月13日時点で確認されていない。*4

万全期すためパスワード変更を呼び掛け

cdn.classi.jp

  • Classi社は13日の発表で利用者に対しパスワード変更の呼びかけを行った。またMFAの導入等、対策強化についても触れている。
  • パスワードが漏れていないにもかかわらず変更を呼び掛ける理由として、Classi社は「必要な対応は完了しているが万全を期すため」と説明。
  • 4月13日以降、Classiへログインするとパスワード変更のお願いが表示される。
  • 対策を終えサービス再開した6日から13日までの間、不正アクセスは発生していない。
  • システム上はClassi IDの変更ができるように見えるが、Classi社からの呼びかけでは変更の対象はパスワードのみとなっている。Classi IDが「Classiを利用するためのID」かは不明だが、各校の案内を見るにSASから始まらないIDが対象に含まれる模様。また一部高校ではIDの変更も呼びかけている。

経緯を整理すると次の通り。

日時 出来事
2020年4月5日 14時5分~16時19分 Classiに対して不正アクセスが発生。
同日 夕方 Classiの社内データベースで異常発生を検知し、サービスを一時停止。
2020年4月6日 必要となる対応を完了し、Classiを再開。
2020年4月11日 外部の専門会社の協力等を得て不正アクセスの事実と情報漏えいの可能性があったことが確定。
2020年4月13日 Classi社がサービス一時停止の調査報告とパスワード変更のお願いを発表。
変更を呼び掛ける利用校

以下はpiyokangoが確認したClassi導入校の今回の件に関連した案内です。

更新履歴

  • 2020年4月15日 AM 新規作成