・佐賀県の教育情報システム「SEI-NET」と校内LANへの不正アクセス事案についてまとめてみた (6/27)
http://d.hatena.ne.jp/Kango/20160627/1467041904・高校生データ21万件盗む 佐賀の17歳ハッカーに称賛相次ぐ (06/27)
http://www.j-cast.com/2016/06/27270828.html実際は「擁護」だろう。
ホワイトハッカーとしての活躍を期待。
・教育システム管理用ID、生徒が見られる場所に (06/28)
http://www.nikkei.com/article/DGXLASDG27HDL_X20C16A6CC1000/『システム管理者の情報を生徒も閲覧できる状態にしていた』
これは「或る段階」を突破するためのきっかけで、
他にも弱い箇所があったのでは?
他の自治体や家庭など、同様の弱さが放置されている可能性がある、と想像。
もう少し詳しい経緯の報道に期待。
ひろみちゅセンセイがヒントをくれていたが、、、
http://twilog.org/HiromitsuTakagi/month-1607
---> 2016.07.16 追記
・佐賀県中高不正アクセスの手口は、無線LAN突破とID・
『サーバーの種類は、県立学校が共用するクラウド型の教育情報システム「SEI-Net(セイネット)」と「校内LANの校務用・学習用サーバー」の二つに大別される。この二つで不正アクセスの手口は全く異なる ...
不正アクセスは無線LAN(Wi-Fi)経由で、電波が届く校内か周辺で行われたとみられる。無線LANのアクセス許可には、「パスワード認証」「MACアドレス認証」「デジタル証明書認証」などの方式がある。一般に、これらを組み合わせると不正アクセスが困難になる。佐賀県では「WPA2-EAP」方式のパスワード認証とMACアドレス認証を組み合わせていた。デジタル証明書認証は採用していなかったが、WPA2-EAPは無線LANのセキュリティとしては比較的強固で、パスワードが漏れない限り、簡単には破れない...
教委事務局によると「(無職少年は)何らかの方法で無線LANパスワードを入手し、MACアドレスを偽装してアクセスしたようだ」...
無職少年が無線LANのパスワードや校務用サーバーの管理者IDとパスワードを入手した経緯はまだ特定できていないという...
成績や生徒指導といった機微な個人情報を扱うこと、教職員に加えて生徒が出入りするため物理的なセキュリティを担保しにくいことなどをリスクとして重視。学校は教育委員会という独立した行政委員会に属しており、事務部門に比べてセキュリティ研修などを徹底しにくい事情も考慮した ...
生徒にパスワードを盗み見られる可能性がある学校の環境で無線LANを導入する場合、教職員向けにデジタル証明書認証が必須だろう』
--> 11.29 追記
・1万人超の個人情報漏洩から得た教訓、
「
推測されにくいパスワードを設定するといったパスワードポリシー
ポリシーを守らせるユーザー教育
...
休日や夜間に不正アクセスが行われる可能性を考慮し、
...
学習用と校務用のサーバー ... 両サーバーをファイアウオールで論理的に分離し、
」
No comments:
Post a Comment