佐賀県教育情報システムでの情報漏洩について(16) - NW屋的日常徒然日記
こんばんは。ポケモンGOのセキュリティ的問題を追ってみているのですが、歩きスマホによる事故防止の観点の報道が多いようですね。現時点ではひとまず出尽くしたのかなという風に受け止めています。 23日の佐賀新聞の記事によると… 佐賀県教育委員会での情報漏洩問題については、ポケモンGOの陰に隠れてしまった印象があります。佐賀新聞が一昨日取り上げていました。 www.saga-s.co.jp 記事によると、「どこかの段階で生徒や保護者に説明する必要がある」との委員のコメント。 えっ!?事件発覚後1ヶ月も経過しているのにまだ何も説明してなかったんですか!? さすがにそれはダメでしょう。夏休みを挟んで有耶無耶にしようと考えていると邪推されても仕方ありません。「学校からの要望があれば対応する」じゃダメでしょう。やらかしてしまったのだから、自ら積極的に説明しに行かないと。これでは「要望がなかったので、説明し
小中高校内での情報セキュリティの甘さは昔から改善されていない模様 - NW屋的日常徒然日記
こんばんは。佐賀県教育情報システム情報漏洩に関する続報に関しては引き続き追いかけて行きます。 西日本新聞にも記事が載っていましたが、別段目新しい内容ではありませんでした。 www.nishinippon.co.jp 佐賀県教育委員会から何か続報が出てくるのかと待っていますが、現時点では何も出てきていません。情報漏洩が発覚してから1週間以上も経過しているにもかかわらず新しい情報が出て来ないのは、単なる時間稼ぎで世間が忘れてくれることを期待しているのか、何を調べていいのか分からず立ち往生しているだけなのか…。 ここで少し視点を変えて、「学校の情報セキュリティは過去どうだったのだろう?」という視点で少し調べてみました。11年前のスラドの記事です。 srad.jp 「中学生に指摘される校内ネットのセキュリティ」というタイトルで、校務LAN上のコンピュータ(これだけではサーバなのか単にPCなのかは不
佐賀県教育情報システムでの情報漏洩問題について(7β) - NW屋的日常徒然日記
こんばんは。今日の新聞・テレビ各紙では新たな報道が見当たりませんでした。(そのような事情もあり、7とせずに7βしてあります。<(_ _)>)それでTLで関係するツイートに細かく目を通してみました。 @keikuma さんのツイートにありました佐賀県教育委員会の定例教育委員会議案(その1)に目を通していました。(@keikumaさん、ありがとうございました。) @keikuma さんがおっしゃっているように、中学校(致遠館中学校)でも不正アクセスの被害があったことが記されています。 ここからはファイルの窃取については記述されていますが、ファイルの改竄の有無に関する記述は見当たりませんでした。ファイルに関する更新情報までは確認しきれてないものと思われます。あるいは改竄された可能性にまで考えが及んでないのではないかという点も気になります。普通なら現在サーバに保存されているファイルの整合性も確認す
佐賀県教育情報システムでの情報漏洩問題について(8) - NW屋的日常徒然日記
こんばんは。引き続き佐賀県教育情報システムの問題点を追いかけています。報道の方も沈静化してきているようですが、今日は産経新聞の記事がありました。 どうもこの記事では、「少年が高い技術力を持って最先端のシステムを突破した」という論調に持って行こうとしているように読めます。「全国の先駆けたシステムをやすやす突破」とありますけど、県教委や業者の構築・運用等が完全にザル、いや「ワク」でしょう。ザルならまだ引っかかるだけの網目がありますが、その網目すら見当たらなかったので、ワクでしょう。 ここでも県教委の反省の姿勢は見えず、「セキュリティ意識の向上を図る」とありますが、それ以前の問題として、まずは県として決められたルールをきちんと守ることから始めないといけないのではないでしょうか。ネットワーク監査を全く行ってなかった組織に「セキュリティ意識の向上を」と言っても説得力もなく、その前提となる土台を築き直
佐賀県教育情報システムでの情報漏洩問題について(9)+50円ブロガー+10分AWSなブロガー - NW屋的日常徒然日記
こんばんは。ここ数日佐賀県教育委員会の教育情報システムの運用・管理などの問題点について追いかけていました。佐賀新聞をはじめとする新聞社各社は、どうも17歳少年の問題に焦点を絞って、県教委や構築・管理業者の不備からは目を逸らせるよう誘導しているようにも映ります。 佐賀県:平成27年度第4回佐賀県総合教育会議によると、SEI-Netは当初来年更新の予定を1年延長して抜本的検討を行うとあります。何が何でも現システムを使う気満々なのでしょうね。失敗を認めたくないからでしょうか。現システムを廃棄して、全く別のシステムを業者を変えてゼロから作り直した方がいろいろな意味で結果的に安くつくと思います。発注側も現システムに関わった職員は一切関わらないようにした上で、専門家の指導の下に設計し直した全く別のシステムを導入するようにすべきでしょう。もちろん、監査はきちんと実行してもらわないといけませんね。内部監査
佐賀県教育情報システムでの情報漏洩問題について(6) - NW屋的日常徒然日記
こんばんは。佐賀県教育情報システムの情報漏洩問題ですが、まだまだ出てきてますのでもう少しだけ書いてみようかと思います。 今日の佐賀新聞の記事では、警視庁に情報提供を求める文書を送ったり、複数生徒に聴き取りを行っているとのこと。「セキュリティに問題はない」と言いつつ、「土日は不測の事態に備えて止める」とか、言ってることが見事に矛盾してますが。 「セキュリティに問題がない」のであれば、土日も動かしておいても問題ないと思いますよ。しっかり監視していれば、不正アクセスがあっても犯人捕まえられますよね。 さらに今日の西日本新聞の記事では、警視庁に供述や手口に関する情報提供を要求する文書を送付したとのことです。今日の毎日新聞の記事では、各校の教員が高校生15人から聞き取り調査を始めたという記事がありました。生徒に圧力をかけて(生徒に)責任転嫁しようとしているようにも見えます。 「やるべきことは犯人捜し
佐賀県教育情報システムでの情報漏洩問題について(5) - NW屋的日常徒然日記
こんばんは。佐賀県教育情報システムに関して続報がありましたので、もう少し続けて書いてみます。それにしても、いろいろとお粗末な話が漏れ伝わってくるのには本当にげんなりします。 共同通信やデイリースポーツや時事通信のサイトで17歳少年が「教育機関や教員に恨みがあった」と供述していたとのことです。恨みの対象は「組織としての教育機関」であり、特定の教員や学校ではないとのことです。 毎日新聞やNHKのサイトでは「教育機関や教員全体に恨みを持っている」とのこと。中学時代のいじめに遭った際の学校側の対応に不信感があったと読み取れます。 この少年が学校や教員全体、教育委員会に対して相当な不信感を抱いていたことを加味すると、教育情報システムの穴を見つけた時点で「セキュリティホールを見つけたことを学校に報告したところで握り潰されるのが関の山だろう。下手すると逆ギレされて『こいつにハッキングされた』と濡れ衣を着
佐賀県教育情報システムでの情報漏洩問題について(4) - NW屋的日常徒然日記
こんばんは。今日も佐賀県教育情報システム「SEI-Net」に関する記事等を追ってみました。それにしても酷いですねぇ。まだまだいろいろと出てくるというのがなんとも…。orz 今日の佐賀新聞LIVEの記事で「県教委、昨年6月に不正アクセス把握も通報せず」という記事が出ていました。昨年6月に不正アクセスがあったにも関わらず、警察に通報してないわ、県教委内部でも情報共有してなかったというお粗末さ。で、その言い訳が「認識が甘く不適切な対応だった」と。この文面からは生徒や教員・県民に詫びる気持ちが全く伝わってきませんでした。 記事によると、昨年6月時点で特定教員のファイルのアクセス権限が変更されていたことがベンダの点検で判明しているわけなので、確実に不正アクセスされていたことは明らかです。 しかし、その後の対応には首を傾げざるを得ませんでした。「データの移動量の痕跡から情報流出はなかったと判断した」と
佐賀県教育情報システムでの情報漏洩問題について(3) - NW屋的日常徒然日記
こんばんは。昨日一昨日と佐賀県教育情報システム委員会が導入した教育情報システム「SEI-Net」で起きた情報漏洩事件について書きましたが、情報を追っていると出るわ出るわ、あまりにも酷い状況が。ここまで酷いとは思ってもみませんでした。記事を追いながらツッコミマシーンと化してしまってました。(^^;; ここ最近、地方自治体でのサイバー攻撃や不用意な情報漏洩事件が複数発生しています。福井県池田町の町議会事務局長の件は論外として、役所内に情報セキュリティの専門家が不在だという大きな問題があります。多くの自治体の職員採用試験の募集要項を見ていても、事務以外の技術職では土木・電気・機械が多くを占めて、情報区分で採用している例をほとんど見かけません。「ベテラン層にいないから指導出来ない」という一見最もそうな理由を挙げてきそうですが、ならば中途採用すればいい話だろうと思います。なので、電気区分で採用された
佐賀県教育情報システムでの情報漏洩問題について(2) - NW屋的日常徒然日記
こんばんは。表題の件について、新聞・テレビ各社が報道してますね。自分なりに情報を追ってみて気づいたことを書いてみようかと思います。 「PCの情報を偽装して、学校近くまで行って無線LANに接続し不正アクセスした。」とありましたが、学校の外まで電波が漏れていたことになります。無線APが無駄に高出力だったのか、職員室等が敷地に隣接した道路近くにあったということなんでしょうか。(まさか勝手に高校敷地内に侵入したとは思いたくないですが) 無線LANに接続したのは、まさかのパスワードなしorWEPだったりするのか?とも思いましたが、「PCの情報を偽装して」という内容から、他の方々も指摘しておられましたようにMACアドレスフィルタリング回避だろうと思われます。 生徒が利用する学習用ネットワークと校務用ネットワークの分離が不十分だったとも報じられています。生徒用に割り当てるIPアドレスと教員用割り当てIP
佐賀県教育情報システムでの情報漏洩問題について - NW屋的日常徒然日記
こんばんは。今日は新聞各紙のweb上でこの話題が取り上げられています。以前、B-CASカードを使わずに有料放送を受信していたとされる17歳の少年が逮捕されました。今回の一件で再逮捕されたとの報道がありました。 佐賀県内の小中高校等が利用する教育情報システム「SEI-Net」に不正アクセスし、教員や生徒に関する情報を大量にダウンロードしてPCに保存していたそうです。 文科省担当者が「最も進んでいる佐賀県のシステムが破られるとは…」とのコメントをしていたそうです。何かこれには違和感がありました。一部の記事では「最先端」と書かれていたので、さらに違和感が大きくなりました。この場合の「最も進んでいる=電子黒板普及率」であって、「最も進んでいる≠セキュリティレベルの高さ」ということを物語っています。毎日新聞の記事からの推測ですが、「校内ネットワークに接続した上でIDとパスワードを入力する必要がある」
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
