ぺんぎん発信

ぺんぎん学校ICT教育発信

先生向けの教育システム関連ブログです。 セキュリティ、校務支援システム、授業支援システム、ネットワークなどなど学校で「使える」情報をお伝えします。

学校のパソコンはパスワードだけでは危ない。教育情報セキュリティ②

前回の続きです。

 

www.penginedu.com

 

f:id:swpxd690:20170612003703p:plain

 

 

 

セキュリティ事故の事例に学ぶ

 

不正アクセスにより生徒の成績を含む、1万人以上の個人情報が流出

 

 2015年4月頃から、少年が県立学校の学校教育ネットワークに不正アクセスし、15万件以上の個人情報を含むファイルが窃取されていました。個人情報には、教職員や生徒、保護者の住所・指名・電話番号のほか、模擬試験の偏差値、学年順位などの成績関連資料、生徒指導調査報告資料、進路希望調査、学校行事のスナップ写真などが含まれていたといいます。

 

d.hatena.ne.jp

 

 少年は「情報収集会議」と称するグループ内で、IDとパスワードなど盗み出した情報を共有していました。少年以外に生徒一人も同校で不正アクセスを行っていましたが、「その方法は無職少年から教えてもらった」と話しています。

 

www.saga-s.co.jp

 

 

教師に偽画面からパスワードを入力させる

 

 少年と生徒は不正カクセスのために、管理者権限(administrator)のIDとパスワードを教師から不正に入手しました。その手口とは、ログイン画面を偽装したフィッシング画面を生徒の学習用PCに工夫し、そのPCを教師に提示して、IDとパスワードを入力させたというものです。

 

 窃取されたIDとパスワードでは、校内LANのうち学習用サーバのみ侵入可能でした。しかし、その後は学習用サーバを経由し、校務用サーバまでも不正アクセスが拡大しています。その要因として考えられるのは、IDとパスワード管理の不徹底です。不正取得された情報の中に、学習用サーバの過去のIDとパスワードが記された引き継ぎ資料がありました。

 

 その内容から、学習用サーバのIDとパスワードに規則性があることが知られ、校務用サーバの管理者権限(administartor)であるIDとパスワード、さらには他校の同IDとパスワードも容易に類推されたものです。

 

 

セキュリティ事故が起こらないようにするためのポイント

 

 不正アクセス拡大の一因は、管理者権限(administartor)のIDとパスワードが含まれるファイルがネットワーク内に保存されていた点です。パスワードは漏えいに気付きにくいうえ、類推やツールでの解析が可能な場合もあり、悪用する側での共有も容易。

 

 パスワードが漏えいするリスクを考慮して、二要素認証による対策が必要です。今、地方公共団体での導入が進んでいる有効な対策です。

 

 

児童生徒の個人情報を記録したUSBメモリを紛失する事故が各地で発生

 

 市立高校の教諭が学校のUSBメモリを所持したまま、気付かずに退勤しました。 途中に寄ったコンビニの駐車場にUSBメモリを落とし、気付かず帰宅してしまいました。その後、コンビニの来店客がUSBメモリを拾い、店長に届けました。

 

 USBメモリには、市立高校のラベルが貼られていたため、数日後に同店長が高校に返却。その時点で初めてUSBメモリの紛失が判明しました。USBメモリには、同高校の2年生全員の模擬試験データ(クラス番号、氏名、成績)といった重要な個人情報が記録されており、こうした情報が外部に漏えいすれば、さらに大きな影響を及ぼしていたでしょう。

 

www.security-next.com

 

npo-rois.org

 

 

禁止されていたUSBメモリを持ち出して紛失

 

 同高校では個人情報の持ち出しについて、市教育委員会が定めた情報セキュリティポリシーに従っていました。同ポリシーでは、個人情報の持ち出しには校長の許可が必要という運用ルールでしたが、同教諭は故意ではないとはいえ、結果的には許可なしにUSBメモリを郊外に持ち出し、紛失していました。

 

 他にも、セキュリティポリシーで禁じられているにもかかわらず、私物のUSBメモリに個人情報を入れて使用して校内で紛失した事故、また、個人情報を記録したUSBメモリ2本をバッグに入れて学校外に持ち出し、飲食店でバッグごと紛失した事故なども実際に起きています。

 

 USBメモリは教育現場の実務で使用することになった場合、セキュリティポリシーを厳格に定めても、サイズがコンパクトである点や利便性などから、本人に悪意がなくても、持ち出しや紛失は起こってしまう現実があります。運用管理も含めた根本からの対策が求められます。

 

 

セキュリティ事故が起こらないようにするためのポイント

 

 USBメモリの紛失事故は学校外に限らず、校内でも発生しています。どんなに気をつけても、紛失するリスクは避けて通れません。こうした対策として、万が一USBメモリを紛失してしまっても、記録されているデータを第三者が利用できないようにする暗号化が必要不可欠です。

 

 さらに暗号化はユーザーが意識せずとも自動化される仕組みであれば、暗号化し忘れも防止できます。

 

buffalo.jp

 

 

学校のパソコンはパスワードだけでは危ない。教育情報セキュリティ③ に続く

 

 

www.penginedu.com

www.penginedu.com