ニューストピックス 
佐賀県教育委員会不正アクセスを分析する

今年6月27日に佐賀県教育委員会が不正アクセスで情報漏洩があったことを発表した。
具体的にどのような経緯で不正アクセスをされたのか、公表された情報を元に考察してみた。

佐賀県教育委員会は、6月27日に不正アクセスで情報漏洩があったことを発表しました。
不正アクセスの経路がWi-Fi経由であったため、あたかもWi-Fiそのものが危険であるかのような印象を与えてしまっています。
本当にWi-Fiが危険なのでしょうか?公表されている情報を元に検証してみました。

今回の発表では校内LANとクラウド型のサービスの両方での不正アクセスが発表されていますが、ここではWi-Fiに注目したいので校内LANに注目してみます。

システムの概要状況は、下記のように整理できます。

  1. 校内LANで利用するPCは管理者パスワードが掛けられており、生徒は利用者権限で利用するため、無線LANの設定などは確認出来なくしていた。
  2. 校内LANで利用されていた無線LANはWPA2-EAPとMAC接続制限を併用しており、SSIDはステルスモードになっていた。
  3. 校内サーバは生徒が利用する校内LANからアクセス出来ていたが、サーバアクセスパスワードで制限されていた。

 

上記の各状況を突破するために、侵入者によって、以下のような手順で不正アクセスが行われたようです。

PCの管理パスワードを取得

PCの設定からWi-Fi接続のパスワードなどを取得

Wi-Fiで校内LANにアクセス

サーバアクセスのパスワードを取得し校内サーバへアクセス

流れで書くと簡単ですが、具体的には果たしてどのようにして実行されたのでしょうか?
メディア各社によって報道された情報を集めていくと次のような方法で実行されたことが分かります。

 

Ⅰ-1 PC管理者パスワードを取得した経緯1
PCに教材をインストールする際、VBScriptを実行して教材のインストールを行っていました。この際、VBScriptは実行後しばらくして管理者パスワードの入力を要求していました。VBScriptが実行中に後ろでメモ帳などを立ち上げておけば教師が入力したパスワードが簡単にメモ帳に残される仕組みになっていました。
生徒に教材のインストールを実行させなければこの問題は起きなかったと思われます。

Ⅰ-2 PC管理者パスワードを取得した経緯2
学習用タブレットに偽の入力画面を表示させ、生徒が教師に対して「画面がおかしくなった」と嘘をつき、その入力画面に管理者用パスワードを入力させることでパスワードを取得したそうです。
これはフィッシング手法によるものです。
http://www.saga-s.co.jp/news/saga/10101/335476

Ⅰ-3 PC管理者パスワードを取得した経緯3
教師用のPCに付箋紙でパスワードが貼られており、それを生徒が覚えてメモしたそうです。これは論外ともいえる話ですが現場では良く起きている状況です。

Ⅱ MACアドレスを偽装してWi-Fi接続した経緯
Wi-Fiに限らず、有線のネットワークにおいてもMACアドレスの偽装は可能です。
校内のPCから抜き取ったWi-Fi設定情報とMACアドレスを利用して夜間などに校外の電波の届く環境から不正に接続したそうです。Wi-Fiでの問題は唯一これくらいかも知れません。しかし、スケジュールで運用を止める機能を利用すればある程度の被害抑止に繋がったと思われます。またMAC制限をしていたということは接続を許可する端末は特定の端末だったわけなので電子証明書を利用した認証を採用すれば良かったかも知れません。

Ⅲ  サーバパスワードを取得し情報を取得した経緯
校内LANにはNASが設置されており、サーバパスワードを含む生徒のアカウント情報がファイルで保存されていたそうです。
http://www.nikkei.com/article/DGXLASDG27HDL_X20C16A6CC1000/
またこれらのファイルは暗号化されていましたが、簡単に解除出来る状態だったそうです。[参考:西日本新聞]
さらにこの問題のファイルの保管場所は2016年6月までそのままだったと言われています。

このようにして取得したサーバパスワードを利用してWi-Fiネットワークからアクセス可能だった校内サーバにアクセスし情報を取得したようです。
なぜ生徒用と管理用のネットワークをVLAN等で分離していなかったのか不明ですが、NAS上に重要なファイルを誰でも見られるように設置していたのは論外な話です。

このように今回の事件は「Wi-Fiだったからこそ不正アクセスされた」という要素は少なかったと考えられます。
PCの管理者パスワードが漏洩したこと、LAN内にサーバーにアクセスするために必要な情報が放置されていたことが主な原因でした。
経緯がかなり複雑だったために、接続の入り口となったWi-Fiだけが強調されてしまったとみてよいようです。

 

武本浩一郎

■Wi-Biz通信(メールマガジン)の登録はこちら