コラム/トピック

MACアドレス認証は
セキュリティ対策上の「認証」ではない
少年が無線LANから最新システムにハックできたワケ

政府が2020年までに全国の小・中・高校に無線LAN環境を導入する方針を打ち出す中、佐賀県が誇る最新の教育情報システムで発生した不正アクセス事件は、無線LAN運用の脆弱性を露呈し大きな波紋を広げている。

東京五輪に向けて小・中・高校に無線LAN環境を導入

来るべき東京オリンピック・パラリンピックが開催される2020年は、さまざまな分野でITのトランスフォーメーション(変化の波)が訪れる大きな節目となることが予想されているが、学校教育の現場にとっても重要なエポックメイキングが待っている。総務省が2020年までに全国すべての小・中・高校に無線LANの「Wi-Fi」環境を導入する方針を打ち出したからだ。
学校への無線LAN導入の最大の目的は、教科書の内容をタブレットなどに収めた「デジタル教科書」の活用と普及だが、災害時には多くの学校が避難所となるため、避難者にも無線LANを開放し、携帯電話の基地局が故障してもインターネットや電子メールを使えるようにすることも視野に入れている。
現在、日本では無線LANを利用できる小・中・高校の教室は24%にとどまり、IT先進諸国の中ではかなり遅れをとっているのが実情のようだ。そのため、政府は携帯電話会社などが国に納めている電波利用料を財源に、2019年度までの3年間で約100億円を確保し、無線LANのアクセスポイント/ルーター類の設置費用のうちおよそ半分を補助することで教育のIT化を一気に加速させる考えだ。対象は全国の小学校(約2万1000校)、中学校(約1万校)、高校(約5000校)となる。各教室のほか、職員室や体育館にもアクセスポイントを設置して活用エリアを広げるという。
だが、そこで大きな問題となるのが、無線LAN特有のセキュリティの脆弱性である。それを予兆するかのように、佐賀県教育システムで発生した不正アクセス事件は、IT業界はもちろんのこと教育界にも大きな波紋を投げかけた。

関連ページ

情報通信技術教育先進県のサーバーも脆弱性を露呈

2016年6月27日、佐賀県は17歳(当時)の少年らが2015年4月頃から佐賀県の教育ネットワークに侵入し、教育情報システムから佐賀県内の高校に通う生徒の個人成績や評価情報などを盗み出していた事実を明らかにした。佐賀県は自他共に認める「情報通信技術教育先進県」であり、数年前から「校務管理」「学習管理」「教材管理」を一体化してクラウド環境から提供する教育情報システム「SEI-Net」(Saga Education Information-Network)を導入し、同時に無線LAN普及も力を入れてきたが、肝心の教育ネットワークの設定や運用に大きな問題があり、そのセキュリティ対策の死角を突かれた格好だ。
地元の佐賀新聞の記事によると、佐賀県教育委員会は同日、教育情報システムへの不正アクセスにより盗まれた約21万件のファイルなどのうち、県立学校9校で約1万人分の生徒や保護者、教職員の個人情報の被害を確認したと発表した。被害を受けたのは佐賀東、佐賀北、小城、佐賀商業、武雄、佐賀西、佐賀工業の各高校と、致遠館中・高の9校で、このうち7校は学校運営に必要な情報が保存されている校務用サーバーや、授業に使う情報が保存されている学習用サーバーから多数のファイルが盗まれた。また、学習・教材管理などで教職員が利用するSEI-Netからも7校の機密情報が窃取された可能性があるという。

MACアドレス認証とパスフレーズの併用が一般的だが……

では、なぜ、若干17歳の少年らが情報通信技術教育先進県を標榜する最新のクラウド環境から機密情報を盗み出せたのだろうか。
学校などの教育現場で無線LANを導入する上では、適切な端末認証は不可欠である。もし端末認証を行っていない場合、「不正アクセス」と「不適切な利用」という2つのリスクが発生する可能性が高まるからだ。一般的には、端末認証に「MACアドレス認証」(MACアドレス;Media Access Control Address)が用いられ、さらに「パスフレーズ認証」(ID・パスワードや、PSK:事前共有鍵)で使う本人のユーザー認証を行うことが無線LANの運用では行われることが多い。
少なくとも主犯の少年は、一定レベル以上のシステムとハッキングに関する知識や技術を有していたようだ。彼らは、深夜に学校の校舎近くまで行き、外に漏れ出している無線LANアクセスポイント(AP)の電波からパソコンの情報(MACアドレスなど)を入手してシステム内部に侵入しようとした。この方法は、車で移動しながら街中のセキュリティに不備がある無線LAN APを探し回り、外からコンピューターネットワークに侵入してクラッキングやスパムメール配信を行う「War Driving」という昔からよくある手口を真似たものだ。

MACアドレス情報を取得して端末情報を偽装

そして少年は、ネットワークに侵入した学校に通う友人(当時16歳)から生徒用のID・パスワード情報を聞き出し、無線LAN上で通信している機器のMACアドレス情報を取得して自らの端末情報を偽装。その後、何らかの方法で教職員のID情報を盗み出して校務システムに侵入し、生徒の成績表や個人調査票などの機密情報を入手したと思われる。パスフレーズは少年の友人から容易に入手してしまったため、頼みの綱はMACアドレス認証だけになるのだが、なぜMACアドレス認証がかくも容易に窃取され、偽装されたのだろうか。
実は、MACアドレス認証は便宜上「認証」と呼んでいるが、厳密にはセキュリティを強化するための認証ではない。佐賀県教育委員会がMACアドレス認証にパスフレーズ認証を併用してセキュリティを確保できると考えていたとすれば、その認識の誤りが今回大きなセキュリティホールとなった。

なぜMACアドレス認証が「認証」ではないのか?

その理由については、ホワイトペーパーで詳しく知ることができる。ぜひダウンロードして確認していただきたい。

ページトップへ