学校のパソコンはパスワードだけでは危ない。教育情報セキュリティ②
前回の続きです。
セキュリティ事故の事例に学ぶ
不正アクセスにより生徒の成績を含む、1万人以上の個人情報が流出
2015年4月頃から、少年が県立学校の学校教育ネットワークに不正アクセスし、15万件以上の個人情報を含むファイルが窃取されていました。個人情報には、教職員や生徒、保護者の住所・指名・電話番号のほか、模擬試験の偏差値、学年順位などの成績関連資料、生徒指導調査報告資料、進路希望調査、学校行事のスナップ写真などが含まれていたといいます。
少年は「情報収集会議」と称するグループ内で、IDとパスワードなど盗み出した情報を共有していました。少年以外に生徒一人も同校で不正アクセスを行っていましたが、「その方法は無職少年から教えてもらった」と話しています。
教師に偽画面からパスワードを入力させる
少年と生徒は不正カクセスのために、管理者権限(administrator)のIDとパスワードを教師から不正に入手しました。その手口とは、ログイン画面を偽装したフィッシング画面を生徒の学習用PCに工夫し、そのPCを教師に提示して、IDとパスワードを入力させたというものです。
窃取されたIDとパスワードでは、校内LANのうち学習用サーバのみ侵入可能でした。しかし、その後は学習用サーバを経由し、校務用サーバまでも不正アクセスが拡大しています。その要因として考えられるのは、IDとパスワード管理の不徹底です。不正取得された情報の中に、学習用サーバの過去のIDとパスワードが記された引き継ぎ資料がありました。
その内容から、学習用サーバのIDとパスワードに規則性があることが知られ、校務用サーバの管理者権限(administartor)であるIDとパスワード、さらには他校の同IDとパスワードも容易に類推されたものです。
セキュリティ事故が起こらないようにするためのポイント
不正アクセス拡大の一因は、管理者権限(administartor)のIDとパスワードが含まれるファイルがネットワーク内に保存されていた点です。パスワードは漏えいに気付きにくいうえ、類推やツールでの解析が可能な場合もあり、悪用する側での共有も容易。
パスワードが漏えいするリスクを考慮して、二要素認証による対策が必要です。今、地方公共団体での導入が進んでいる有効な対策です。
児童生徒の個人情報を記録したUSBメモリを紛失する事故が各地で発生
市立高校の教諭が学校のUSBメモリを所持したまま、気付かずに退勤しました。 途中に寄ったコンビニの駐車場にUSBメモリを落とし、気付かず帰宅してしまいました。その後、コンビニの来店客がUSBメモリを拾い、店長に届けました。
USBメモリには、市立高校のラベルが貼られていたため、数日後に同店長が高校に返却。その時点で初めてUSBメモリの紛失が判明しました。USBメモリには、同高校の2年生全員の模擬試験データ(クラス番号、氏名、成績)といった重要な個人情報が記録されており、こうした情報が外部に漏えいすれば、さらに大きな影響を及ぼしていたでしょう。
禁止されていたUSBメモリを持ち出して紛失
同高校では個人情報の持ち出しについて、市教育委員会が定めた情報セキュリティポリシーに従っていました。同ポリシーでは、個人情報の持ち出しには校長の許可が必要という運用ルールでしたが、同教諭は故意ではないとはいえ、結果的には許可なしにUSBメモリを郊外に持ち出し、紛失していました。
他にも、セキュリティポリシーで禁じられているにもかかわらず、私物のUSBメモリに個人情報を入れて使用して校内で紛失した事故、また、個人情報を記録したUSBメモリ2本をバッグに入れて学校外に持ち出し、飲食店でバッグごと紛失した事故なども実際に起きています。
USBメモリは教育現場の実務で使用することになった場合、セキュリティポリシーを厳格に定めても、サイズがコンパクトである点や利便性などから、本人に悪意がなくても、持ち出しや紛失は起こってしまう現実があります。運用管理も含めた根本からの対策が求められます。
セキュリティ事故が起こらないようにするためのポイント
USBメモリの紛失事故は学校外に限らず、校内でも発生しています。どんなに気をつけても、紛失するリスクは避けて通れません。こうした対策として、万が一USBメモリを紛失してしまっても、記録されているデータを第三者が利用できないようにする暗号化が必要不可欠です。
さらに暗号化はユーザーが意識せずとも自動化される仕組みであれば、暗号化し忘れも防止できます。
学校のパソコンはパスワードだけでは危ない。教育情報セキュリティ③ に続く