［プチ昔の事例］ 2016年6月27日報道 佐賀県の教育情報システムが不正アクセスを受け個人情報大量流出、システムは最先端だが管理がかなり甘かった

2016年6月27日10時34分にテレビ朝日から、下記趣旨の記事がネット配信されていた。

 

佐賀の県立高校の「教育情報システム」に不正にアクセスしたなどとして、無職の１７歳の少年が再逮捕された。

生徒の個人情報など、２０万ファイル以上を不正に入手したとみられる。

佐賀市の無職の少年は、佐賀県の県立高校生徒の個人情報を管理する教育情報システムに不正にアクセスした疑いなどが持たれている。

 

警視庁によると、少年は、学校の教職員用のＩＤやパスワードを使ってこのシステムにアクセスしたとみられ、少年のパソコンからは、少なくとも６校分の職員や生徒・保護者の住所や電話番号などを含む２０万ファイル以上の個人情報が見つかった。

 

少年はさらに、不正に入手した情報を佐賀県内に住む複数の少年とネット上で共有していたとみられる。

 

出典

『佐賀の県立高の個人情報、20万ファイル以上が流出か』

http://news.tv-asahi.co.jp/news_society/articles/000077877.html

 

 

6月27日13時45分に毎日新聞からは、下記趣旨の記事がネット配信されていた。

 

「ＩＣＴ（情報通信技術）化が最も進んでいる佐賀県のシステムが破られた。とても驚いている」。

佐賀県立高校の生徒の成績などが流出した事件で、文部科学省の担当者はショックをあらわにした。

同省は、２７日、佐賀県教委に事実関係の早急な報告を求めた。

 

全国の公立小中高校の普通教室に設置されている電子黒板の整備率（２０１５年３月時点）は、全国平均が９％なのに対し、佐賀県は７６．５％で全国１位。

パソコンの整備状況も生徒２．６人に１台と全国トップで、国が第２期教育振興基本計画（１３〜１７年度）で定める目標の３．６人に１台を唯一、超えており、ＩＣＴ化の先進地域として知られていた。

 

同省によると、児童や生徒の学籍や成績などの情報をコンピューターで管理するシステムは「校務支援システム」と呼ばれ、各地の学校で導入が進んでいる。

 

教職員同士が情報を共有することで、きめ細かな指導をしたり、教員の校務負担の軽減を図ったりするメリットがあるとされる。

 

佐賀県のシステム「ＳＥＩ−Ｎｅｔ（セイネット）」は、全国に先駆けて、１３年度から導入された。

学校側が授業支援のためのデジタル教材を提供し、児童生徒が家庭でダウンロードして予習や復習に利用したり、ネット経由で相談に乗ったり、学校行事の確認をしたりすることも可能にしていた。

 

佐賀県教委によると、このシステムには５月１日現在で小中学生３万４７３９人、高校や特別支援学校などの県立学校生５万６５９０人、教職員７９８７人の情報が登録されていた。

 

教職員が成績や住所などの個人情報にアクセスするには、校内ネットワークに接続したうえで、ＩＤとパスワードを入力する必要がある。

児童生徒は、ＩＤとパスワードを入力すれば、校外からでもネットに接続して、自分のテスト結果や電子教材などは閲覧できるという。

 

出典

『不正アクセス　「最先端の佐賀県システム破られるとは」』

http://mainichi.jp/articles/20160627/k00/00e/040/156000c

 

 

7月7日1時22分に西日本新聞からは、下記趣旨の記事がネット配信されていた。

 

佐賀県の教育情報システムが不正侵入され、延べ１万５千人分の個人情報が流出した事件は、７日で発覚から１０日になる。

「情報通信技術（ＩＣＴ）教育先進県」を標榜する佐賀県の情報管理の甘さが浮き彫りになり、識者からは、「原因の解明と運用方針の見直しが急務だ」との声が上がる。

 

「どこまで広がっているか分からない」。

佐賀県教育委員会は、成績や家庭環境調査など流出した情報がどこまで拡散したのかつかめておらず、不正アクセス禁止法違反の疑いで逮捕された無職少年（１７）と関わりがあった県内の高校生１５人から聞き取り調査を進める。

県教委や学校には、５日までに「うちの子の情報は大丈夫か」と心配する保護者らから１３３件の相談や問い合わせがあった。

 

少年を逮捕した警視庁や県教委によると、少年は独自開発した攻撃用ソフトウエアを使って佐賀県独自の「教育情報システム（ＳＥＩ－Ｎｅｔ）」に接続。

県立中学、高校などにある校内ネットワークにも、無線ＬＡＮ経由で侵入していた。

 

警視庁の調べに少年は、「教育機関や教員に恨みがあった」、「中学時代にいじめを受け不登校になった。その際の学校と教員の対応に不満があった」などと供述しているという。

　　　

校内ネットワークへの不正侵入で、少年はほとんどの情報が閲覧できる管理者用のＩＤやパスワードを入手。

これらは、教員や生徒が個人ＩＤで閲覧できるファイルに暗号化して保管されており、「ある程度の専門知識があれば解読できる」（県教委）状態だった。

 

県教委は、被害を食い止める機会も逃していた。

昨年６月、何者かの不正アクセスで、校内ネットワークのアクセス権限が変更されたことが判明。

県教委は、情報流出の痕跡がなかったことから、管理委託業者にパスワードを変更させただけで、警察への通報も、内部協議もしなかった。

 

今年１月、別事件で押収された少年のパソコンから大量の個人情報を含むファイルが見つかる。

県教委は、２月、警視庁から情報流出の可能性とシステムの脆弱性を指摘されたが、生徒や教員のＩＤやパスワードを変更しただけで、５月には、「少年にやり方を教えてもらった」と話す男子生徒（１６）の不正侵入を許す。

県教委の担当者は、「今考えると情報管理の認識が甘かった」と認める。

　　　

「なぜそんな運用をしていたのか…」と驚くのは、長崎県教委の担当者。

同県も成績などのネットワーク管理を進めるが、アクセスは県教委と学校内のパソコンからしかできず、指静脈認証が必要という。

 

福岡県は、あらかじめ登録された教職員のパソコンから専用回線を利用しないと、接続できない仕組み。

「そもそも、全てが閲覧できるＩＤがあること自体が問題だ」と首をかしげる。

 

情報セキュリティーの専門機関、独立行政法人情報処理推進機構の白石歩調査役は、「ネットワークの情報管理対策は日々刻々と変わり、１００％守れるものではない。不正アクセスされた場合でも重要情報は簡単に閲覧できないよう、個別に『鍵を掛ける』工夫も必要だ」と指摘した。

 

出典

『「情報先進県」管理は“素人”　佐賀・少年不正アクセス事件』

http://www.nishinippon.co.jp/nnp/saga/article/257034

 

 

 

 

 

2016/07/14 (Thu) 【情報管理不備】　ﾊﾟｿｺﾝ・ﾒｰﾙ等 Comment(0)