17歳が教育システムに不正アクセス 攻撃用プログラムで脆弱性つく 「能力にちょっと驚く」と馳文科相

17歳の少年が、佐賀県教育委員会のシステムなどに不正アクセスした疑いで再逮捕された事件。少年は攻撃用プログラムで脆弱性をつくなどして個人情報を入手していたという。

[ITmedia]

　佐賀県教育委員会の情報システム「SEI-Net」などに侵入したなどとして、不正アクセス禁止法容疑で佐賀市の17歳の無職少年が再逮捕された事件。少年は独自開発した攻撃用プログラムでシステムの脆弱性をつくなどして個人情報を入手していたという。

独自開発の攻撃用プログラムで

SEI-Net（佐賀県のWebサイトより）

　佐賀県は全国に先駆けてIT化を進めており、2014年度の1年生からすべての県立高校で学習用PCを1人1台導入している。県と凸版印刷が構築した教育クラウドサービス「SEI-Net」も導入。生徒はインターネット経由でSEI-Netにログインし、学校からの連絡を確認したりデジタルテストを受けたりでき、教師は校内からプライベートクラウド上の校務システムを使い、出欠の処理やテスト結果の分析などができる仕組みだ。

　県の発表によると少年はSEI-Netに侵入し、県立高校7校の生徒の氏名とID、教職員のID、氏名、メールアドレスを盗んだ。さらに、県立高校6校と県立中学1校（うち5校はSEI-Netと被害校と重複）の校内LANに接続された校内サーバから個人情報を盗み取ったという。

　中でも被害が大きかったのは、校内の校務用サーバが不正アクセスを受けた4校で、教職員や生徒・保護者の住所・氏名・電話番号、ID、パスワード、成績関連書類、生徒指導関連書類9589人分（詳細は精査中）が含まれていた。

流出した情報（県の発表より）

　報道によると少年は、仲間の生徒のIDとパスワードを使ってSEI-Netに侵入し、独自に開発した攻撃用プログラムで脆弱性をつき、情報を盗んだという。県の担当者はこのプログラムについて、「SEI-NetのIDを効率的に抜くためのプログラムではないか」と推測する。

　一部で「SEI-Netから成績などが流出した」と報じられているが、「成績情報などが含まれたSEI-Netの校務用プライベートクラウドは侵入されておらず、SEI-Netからは成績情報は流出していない」という。

　生徒の成績や住所などよりシビアな個人情報は、校内LANに接続した校務用サーバから盗まれた。どうやって侵入したのか。報道によると少年は、学校の近くまで行って校内LANの電波を受信し、PCの端末情報を偽装するなどしてファイルを盗みだした疑いがあるという。

　この少年は、有料衛星放送を「B-CAS」カードなしで無料で視聴できる不正プログラムを制作・公開した不正競争防止法違反の容疑で逮捕されており、同容疑での家宅捜索の際に押収したPCから、今回のファイルが発見されたという。

「少年の能力にちょっと驚く」と馳文科省

　馳文科省は28日の定例会見で、今回の情報流出について問われ、「本当にあってはならないことが起きたと深刻に考えている」とした上で、「17歳の少年がそういう能力を持っていることにちょっと驚く」とショックをあらわにした。「高校生ぐらいともなると不正アクセスについての一定以上の知識や技術を持っていることが明らかになった」とし、教育のIT化におけるセキュリティ対策について改めて見直し、対策したいと述べた。