セキュリティの新しい風 ~Birds of a feather~
第一回 セキュリティ文化の確立を!佐賀県学校教育ネットワークセキュリティ調査で見えてきたもの

特集記事

 不正アクセス事件の概要

2016年6月に公表された佐賀県の学校教育ネットワークシステムへの不正アクセス事件は、当初、高度な技術を持った無職少年がシステムに侵入し、生徒や保護者、教員等の住所・氏名や電話番号、家族構成などの情報、生徒指導の報告書、生徒の成績情報等、1万人分の情報が流出したとされた。 不正アクセス事件の経緯等は、図表1のようであった。

図表1 学校教育ネットワークシステムへの不正アクセス事件の経緯 画像
図表1 学校教育ネットワークシステムへの不正アクセス事件の経緯

今回の不正アクセスでは、以下の3つの要因が大きく影響している。

外部の無職少年内部の生徒が関係した不正アクセスで、無職少年は、生徒のユーザID、パスワードを利用し、システムに侵入した犯行注1と考えることができる。

 

注1)組織内部にいる社員や委託業者が、不正アクセスでは、三菱UFJ証券(2009年発覚)やベネッセ(2014年発覚)等の例があり、外部と内部職員が関係したものには、三和銀行茨木支店(1981年発覚)や東海銀行不正送金事件(1994年発覚)等がある。

 

生徒は、学校システムを学校内だけでなく、自宅などからもアクセスできる立場にあり、内部利用者である。外部の無職少年は、内部利用者である生徒のユーザIDとパスワードを利用することで、システムの脆弱性を調べ、利用することなく、アクセスすることができた。

 

② 生徒の一人は、自分の学習用端末を利用して、教員のユーザID、パスワードを盗取した「ID窃盗」注2を行った。

 

注2)生徒用学習端末の画面がフリーズしたと偽り、端末の復元のため、教員にユーザID、パスワードを入力させ、それらを盗取した。 画面作成等は、無職少年がやったと思われる。 フィッシングとも言えるが、表現としては、ID窃盗(ID Theft)が適切であろう。

 

生徒用学習端末は、各家庭が費用負担をしているが、利用するソフトウェア等やネットワークは佐賀県の管理下にあることを考えれば、生徒用学習端末は、「私物機器利用(BYOD:Bring Your Own Device)」と考えられ、端末の故障時や学期始め等のソフトウェアの導入等を生徒に任せることが必ずしも適切ではないと思われる。

 

③ 教職員や一部の委託業者は、管理者のユーザID、パスワードやそれらを含む文書、ツール類等の重要情報をウェブ上に保存していた。このため、生徒のユーザID、パスワードでアクセスし、そこから管理者ユーザID、パスワードを利用することにより、重要情報を窃取した。

 

今回の事件を概括すると、広義の「ソーシャルエンジニアリング攻撃」と「基礎的・実践的セキュリティ知識」の欠如と考えることができるが、もし、ソーシャルエンジニアリング攻撃だけであれば、大量の情報漏えい事件に繋がることはなかったと思われる。

鍵管理を怠った「シェアハウス的脆弱性」 

現実の世界に例えれば、シェアハウスにたとえられるかもしれない。シェアハウスの住人は、自分の部屋の鍵と共有スペースである「リビングダイニング」へ通じる入口の鍵を渡されている。 ある時に、悪意を持った外部の人間が一人の住民から入口の鍵を借りて、リビングダイニングに入ったら、各住人の部屋の鍵の多くが、そこに置いたあった。住民は誰もいなければ、外部者はリビングダイニングに置いてある鍵を使って、各部屋に入り、貴重品を盗んだと考えることができる。最低限の鍵管理ができていれば、事件になる可能性は減る。

図表1 学校教育ネットワークシステムへの不正アクセス事件の経緯 画像

少年が行った ソーシャルエンジニアリング攻撃

① ソーシャルエンジニアリングの定まった定義はないが、筆者は以下のように考えている。 ・人間の心理的な弱さを利用したり、他人になりすましたりして、必要な情報を盗み見したり、盗取するもので、いくつかの方法を組み合わせたり、複数の人から情報収集を行うこともある。

無職少年が、生徒のユーザID、パスワードをどの様に取得したかは明確になっていないが、仲間(グループ)を構成することで、容易に提供させた可能性がある。彼らは、TV会議が可能なソフトウェアを使って、「情報収集会議」を開催しており、生徒がユーザID、パスワードを提供しても不思議ではない。

② 生徒用学習端末を使って、画面をフリーズさせ、管理者用IDとパスワードを入力ささせて、それを 盗取している。生徒が自分の学習用端末を使って、管理者用IDとパスワードを盗取する目的で利用する想定がなかったと思われ、そのため簡単に騙されてしまった。最近の標的型攻撃等は、利用者を巧みに騙すことにより、必要な情報を盗取する「ソーシャルエンジニアリング」攻撃が盛んになってきている。

欠如していた基礎的・実践的なセキュリティ知識について

今回の事件は、学校教育現場での事件だが、学校教育現場だけの問題ではない課題も多く、技術的な対策やセキュリティポリシーでは対応できない課題も多い。教員や一部の業務委託先社員等に「基礎的・実践的なセキュリティ知識」の必要性を感じた。また、教員と業務委託先社員の関係、即ち、教員が、これは利便性が悪いので、この方法を、と言われると、委託先社員がセキュリティ上の課題を適切に説明できないため、言われた方法を採用してしまうこともある。今回の事件で見えてきたものについて説明する。

(1) 環境犯罪学・集団心理学

教育委員会や教員は、学校現場で生徒等が悪いことをしないと考えていることが多い。しかし、2014年に滋賀県の高校で発生した不正アクセスでは、卒業式の演出準備で教員のノートPCを生徒に貸し出した時、「スクリーンタイムアウト」設定をしてあったため、パスワードを書いたメモを生徒に渡したが、それを近くにいた別の生徒が表示されていたユーザIDとそのパスワードを盗み見て利用した注3

注3)JCASTニュース、教師がパスワードを教えていた! 高校生が不正アクセス、個人情報LINEで流出、http://www.j-cast.com/2014/04/15202268.html?p=all、2014年4月15日

「そこに山があるから山に登る」ではないが、「そこに面白そうなことがあるから」やってみたい衝動に駆られる注4のは、勿論、生徒だけでなない。また、個々の生徒として問題がなくても、集団になると思いも寄らないことを行う場合もある。佐賀県の事件でも、無職少年とその友人の少年、生徒の9名は、Skypeを利用して、「情報収集会議」を行っており、集団心理が働いた可能性も否定できない注5

注4)環境犯罪学では、犯罪の多くは、犯罪が行われやすい環境に問題があり、犯罪者自身に問題がある訳ではないとの考えである。

注5)集団心理:一人一人が悪いことをしなくても、集団になると思考停止状態に陥り、自分の考えや行動などを深く省みることなく無意識のうちに規則等を無視し、いじめ等や違法行為に加担する等、想像以上のことを行うことがある。

(2) アクセス制御/パスワードポリシー

① 生徒用学習端末認証の脆弱性: 生徒は、学習用端末を使って授業を受けるが、教室内だけでなく、自宅等でも利用することを考えると、インターネット利用が必須であり、各生徒の学習端末の「認証」が必要になるが、佐賀県は、ユーザID/パスワードと端末のMACアドレスを利用して、学習端末の認証を行っていた。ネットワークの知識があれば、MACアドレスを偽装し、不正アクセスができる。パスワードの規則的な設定: 県立高校は、36校あるが、各学校、各系に割り当てられたパスワードは、規則性があり、1つのパスワードが分かれば、他校、各系のパスワードを類推できた。最近のパスワード解読ソフトウェアの高速性を考えると、安易なパスワードは簡単に解読できる。

③ 重要ファイルのオンライン保存: 管理者用ID、パスワードが含まれたマニュアルやプログラム(ツール等)を始め、ユーザID/パスワードをオンライン状態で保存することは避けなければならない。また、利便性を考え、特別な管理者用ID/パスワードも作成されていたが、「管理者用パスワードの変更」時に、それらを含めた対応ができなかった。

(3) 管理・運用について

① 問題の矮小化

セキュリティ関係に限ったことではないが、知識がない事柄や対応したくない課題などは、「矮小化」してしまう傾向がある。今回も、2015年6月に、ある高校の教員がシステムへアクセスできないため、ヘルプデスク(外部委託)に連絡したが、広範な検討がなかったため、「特別な管理者用パスワード」は変更されなかった。

② ログ管理

十分な人的・費用的資源がないと、十分なログ管理ができないが、大量のログ監視では、偽陽性や偽陰性の問題注6もあり、簡単に判断できないこともある。更に、正規のユーザID/パスワードを利用してシステムに侵入している場合、発見が難しい。インシデント発覚後等に、過去ログの確認をしようとしたら、ログが既に削除されている場合もある。 実際、2015年6月のログは、保存期間内を越えていたため、再検証できなかった。

注6)偽陽性とは、正しいものが、誤りであると判断される。偽陰性とは、誤りであるにもかかわらず、正しいと判断される

③ セキュリティ監査

第三者的な立場から、構築されたシステムが適切に管理・運用されているかを検証する必要がある。どの様なシステムも、時間の経過や環境の変化によりリスクは変化する。技術の陳腐化や関係者による処理方法の変更でリスクが顕在化することもある。このため、定期的、あるいは、システム変更が行われた場合には、リスク評価や監査を行う必要がある。今回の原因の多くは、技術的な問題でなく、管理・運用も問題であり、適切なセキュリティ監査により、指摘され、改善することが可能であったと思われる。

④ 運用時間帯

学校という特殊性を考えると、夜間に各高校のWiFiを利用する可能性は低い。無職少年らは、夜間、WiFiからシステムに侵入している。アクセスができなければ、セキュリティを確保できる。物理的な切り替えで、昼間と夜間の運用が大変であれば、夜間の監視を厳しくする等の方法も考えられるが、事件発覚まで野放しであった。

⑤ 業務委託先との関係

日々の教育で不便さを感じると、一部の教職員が各学校にいる委託業者への指示をだし、処理を変更することにより、セキュリティ上の脆弱性が発生している。 各学校に常駐している委託先社員も教員との関係から、指示を受けざるを得ないことが多い。特に、教員がコンピュータやセキュリティについて、多少の知識があると、おかしいと感じても押し切られてしまうことが多く、それがシステムの脆弱性になってしまうこともある。

セキュリティ文化の確立を目指して

大きな情報セキュリティ事件の調査報告書の内容や今回の調査で感じるのは、「セキュリティ文化」の欠落である。最近は少なくなったが、そでも、セキュリティは日本の企業のなじまない、社員が悪いことをするという前提のセキュリティ機器やポリシーは不要だという考えがある。即ち、セキュリティは「性悪説」を前提にしている、との考えである。「当社は、性善説で管理を行ってきた」と記者会見で言い訳をする社長やCEOを事件・事故の記者会見で見たりするが、「どの様な管理をしていたのか?」、「適切な管理を行っていて、事件・事故が発生したのか?」と聞いてみたい。多分、直接の担当者以外は、殆ど関心がなかったのではないか。

筆者は、セキュリティを「塀の中に落ちない仕組み」と考えている。例えば、「出来心」で、目の前にある情報資産を盗取しようと考えても、簡単には盗取できない環境が構築されており、自分のIDを利用すれば、直ちに分かってしまう。しかし、複数の社員等が1つのIDを使っており、事件が発覚しても、誰が犯人かが分からなければどうだろうか? 実際、20人ほどの社員が同一IDを使っており、事件発覚時に犯人の特定ができなかった。もし、各人にIDが割り当てられていれば、簡単に犯人が分かる可能性があり、それを知っている者が積極的に情報盗取をしようと考えないであろう。犯罪を行い易い環境を作ることに問題があるという、「環境犯罪学」(前述:注4)の考えであり、犯罪者を作らない仕組みが、セキュリティ対策である。

最初から犯罪に手を染める人間もいるとの指摘もあるが、現実の世界、「空き巣の侵入手段」では、無施錠が40%程度を占めており、施錠するだけでもかなりの空き巣を防ぐことができることがわかる。
以下は、セキュリティ文化を確立するために、どの様なことを考え、実行すべきかである。勿論、個々の企業や組織により、同じである必要はないが、これらを基に「セキュリティ文化の確立」を考えることが、セキュリティ対策だと考えている。

セキュリティ文化の確立のための10ヵ条

  1. セキュリティ文化の確立は、その組織に関係する全ての人によって始めて確立が可能になる。正規社員だけでなく、非正規社員も参加が大切になる。
  2. セキュリティでも完璧はない。セキュリティ機器や厳格なポリシーを作成しても、機器の管理・運用もポリシーを順守するのも人だからである。 機器は故障し、それを扱う人間もミスをするからである。
  3. ヒューマンエラーの多くは組織体制の問題があると考える必要がある。 教育・訓練の欠如や業務の集中がヒューマンエラーを誘発することが多いためである。
  4. 新しい課題は、全ての関係者が情報を共有し、現場だけの判断にならないようにし、委託事業者にも徹底する。
  5. 基礎的な教育・訓練だけでなく、セキュリティポリシーでは上下できない、キュリティの常識も含めること。
  6. セキュリティ関係者は、セキュリティ事案が外部だけでなく、内部、外部と内部の結託もあり、集団行動が思わぬ方向に進むことなど、心理学、行動科学、犯罪学などの基礎的な知識も修得する。例えば、認証、暗号化、無線LAN、ログ管理などの知識は必須である。
  7. セキュリティ確保に必要な手順から外れることがあれば、組織の上下に関係なく、指摘できる環境を構築する。「誤りは人の常」であり、上司も誤りを犯すことがあると、上司も部下も持つこと。
  8. 他社、他人が起こしたセキュリティ事案をセキュリティ関係者等で議論をする時間を作ろう。セキュリティ事件・事故でも、「歴史は繰り返す」事が多く、知識を持っていることが、事案を矮小化することを防ぐ。
  9. セキュリティ関係者の異動が、数年程度の場合、1年単位で業務の確認ができる仕組みや手順書/ポリシー等の更新の仕組みを確立する。
  10. 小さな事案でも必ず報告し、公開(内部のみ、外部へも)する仕組みを構築し、何故、その事案が発生したかを分析・調査する体制を構築する。