事象

佐賀県の学校教育ネットワークが不正アクセスを受け、約1万人分の個人情報が漏洩した。

影響範囲

佐賀県：学校教育ネットワークに係る不正アクセス被害がありました

• 4校の校務用サーバ
  • 1,574件のファイルに9,589人分（精査中）の個人情報
  • 情報の内容
    • 教職員、生徒、保護者の住所・氏名・電話番号
    • ID、パスワード
    • 成績関連書類
    • 生徒指導関連書類
• SEI-Net
  • 7校の教職員のID・氏名・メールアドレス計579人分と、生徒のID・氏名計5502人分*1
  • 被疑者によって一覧として作成された7ファイル

原因

• 校務用サーバ
  • 無線LANで学校内やその近隣からアクセスできる校内LANに直接接続してデータを不正にコピーした可能性がある。*2
• SEI-Net
  • インターネット経由でアクセスし、攻撃用ツールによって情報を窃取した疑いがある。*3

対応経緯

• 2016年2月15日 警視庁から佐賀県への連絡
• 時期不明　拡大防止、対策実施*4
  • 被害の拡大防止のため直ちに取りうる有効な手立てとして、校内LAN及びSEI－Net に係る各種パスワード等の変更を実施した。(現在も不定期に実施。)
  • 警察の捜査に協力しながら、システムの運用面及びシステム自体の問題の有無などについて調査を行い、必要な手立てを講じた。
• 6月27日 被疑者再逮捕。佐賀県から報道発表。

考察

校務支援システムは全国的に導入が進められており、無線LAN経由でアクセスする環境も多いと思われます。許可されていない端末が無線LANに接続できないようにする必要があります。

児童や生徒の学籍や成績管理をコンピューターで行うシステムは「校務支援システム」と呼ばれ、各地の教委で導入が進んでいる。教職員同士が情報を共有することできめ細やかな指導をしたり、教員の校務負担の軽減を図ったりするのが目的という。*5

SEI-Netは先進的なシステムで、本事案が今後の教育ICT推進に与える影響は大きいと考えられます。本事案はアプリケーションに脆弱性があったことが原因と考えられ、ペネトレーションテストや開発時のセキュリティ確保を、仕様に含めて行く必要があると思います。

本ページの更新履歴

• 6/28 新規作成