情報通信技術教育先進県のサーバーも脆弱性を露呈

2016年6月27日、佐賀県は17歳（当時）の少年らが2015年4月頃から佐賀県の教育ネットワークに侵入し、教育情報システムから佐賀県内の高校に通う生徒の個人成績や評価情報などを盗み出していた事実を明らかにした。佐賀県は自他共に認める「情報通信技術教育先進県」であり、数年前から「校務管理」「学習管理」「教材管理」を一体化してクラウド環境から提供する教育情報システム「SEI-Net」（Saga Education Information-Network）を導入し、同時に無線LAN普及も力を入れてきたが、肝心の教育ネットワークの設定や運用に大きな問題があり、そのセキュリティ対策の死角を突かれた格好だ。

地元の佐賀新聞の記事によると、佐賀県教育委員会は同日、教育情報システムへの不正アクセスにより盗まれた約21万件のファイルなどのうち、県立学校9校で約1万人分の生徒や保護者、教職員の個人情報の被害を確認したと発表した。被害を受けたのは佐賀東、佐賀北、小城、佐賀商業、武雄、佐賀西、佐賀工業の各高校と、致遠館中・高の9校で、このうち7校は学校運営に必要な情報が保存されている校務用サーバーや、授業に使う情報が保存されている学習用サーバーから多数のファイルが盗まれた。また、学習・教材管理などで教職員が利用するSEI-Netからも7校の機密情報が窃取された可能性があるという。

MACアドレス認証とパスフレーズの併用が一般的だが……

では、なぜ、若干17歳の少年らが情報通信技術教育先進県を標榜する最新のクラウド環境から機密情報を盗み出せたのだろうか。

学校などの教育現場で無線LANを導入する上では、適切な端末認証は不可欠である。もし端末認証を行っていない場合、「不正アクセス」と「不適切な利用」という2つのリスクが発生する可能性が高まるからだ。一般的には、端末認証に「MACアドレス認証」（MACアドレス；Media Access Control Address）が用いられ、さらに「パスフレーズ認証」（ID・パスワードや、PSK：事前共有鍵）で使う本人のユーザー認証を行うことが無線LANの運用では行われることが多い。

少なくとも主犯の少年は、一定レベル以上のシステムとハッキングに関する知識や技術を有していたようだ。彼らは、深夜に学校の校舎近くまで行き、外に漏れ出している無線LANアクセスポイント（AP）の電波からパソコンの情報（MACアドレスなど）を入手してシステム内部に侵入しようとした。この方法は、車で移動しながら街中のセキュリティに不備がある無線LAN APを探し回り、外からコンピューターネットワークに侵入してクラッキングやスパムメール配信を行う「War Driving」という昔からよくある手口を真似たものだ。

MACアドレス情報を取得して端末情報を偽装

そして少年は、ネットワークに侵入した学校に通う友人（当時16歳）から生徒用のID・パスワード情報を聞き出し、無線LAN上で通信している機器のMACアドレス情報を取得して自らの端末情報を偽装。その後、何らかの方法で教職員のID情報を盗み出して校務システムに侵入し、生徒の成績表や個人調査票などの機密情報を入手したと思われる。パスフレーズは少年の友人から容易に入手してしまったため、頼みの綱はMACアドレス認証だけになるのだが、なぜMACアドレス認証がかくも容易に窃取され、偽装されたのだろうか。

実は、MACアドレス認証は便宜上「認証」と呼んでいるが、厳密にはセキュリティを強化するための認証ではない。佐賀県教育委員会がMACアドレス認証にパスフレーズ認証を併用してセキュリティを確保できると考えていたとすれば、その認識の誤りが今回大きなセキュリティホールとなった。

なぜMACアドレス認証が「認証」ではないのか？

その理由については、ホワイトペーパーで詳しく知ることができる。ぜひダウンロードして確認していただきたい。