前橋市がNTT東日本提訴へ 教育委員会の不正アクセス事件を受け（1/2 ページ）

[谷井将人，ITmedia]

　群馬県前橋市は2月19日の定例会議で、同市教育委員会が2018年に不正アクセス被害を受け、市内の公立学校に通う児童生徒や保護者の個人情報が流出した可能性がある問題で、NTT東日本を提訴する方針を明らかにした。教育委員会のネットワーク機器やサーバの保守などを請け負ったNTT東日本に対し、約1億7700万円の損害賠償を求める。

前橋市議会

　前橋市教育委員会では18年3月、個人情報などを扱うサーバが第三者から不正アクセスを受け、12〜17年に市内の小中学校と特別支援学校に通っていた全児童生徒の個人情報4万7839件が流出したとみられている。流出した可能性がある情報の中には、氏名や住所、アレルギーといった情報も含まれる。

　同時期に市内の幼稚園や小中学校で給食を食べていた園児や児童生徒、教職員などの給食費引き落とし口座情報2万8209件も流出した可能性がある。

　前橋市はこの不正アクセスがNTT東日本の債務不履行により防げなかったとして、被害を受けたネットワークや端末の復旧作業に掛かった費用、弁護士費用などを含む約1億7735万円の損害賠償を求め、民事訴訟を起こす。

公開サーバ経由で非公開サーバに不正アクセス

　前橋市教育委員会がサーバへの不審なアクセスログを最初に確認したのは18年3月16日。第三者委員会による調査で、攻撃は17年8月に始まっていたことが分かった。

第三者委員会の調査報告書より

　攻撃者は、同教育委員会が資料公開に使っていた公開サーバに多数あったという遠隔操作が可能になる脆弱（ぜいじゃく）性を突き、サーバにバックドアを作った。

　バックドアを足掛かりに公開サーバに侵入した攻撃者は、認証情報などを盗み出し、適切なセキュリティ設定がされていなかったファイアウォールをすり抜けて教育委員会の内部ネットワークに侵入した。

　18年3月6日には、個人情報を管理するネットワーク内のサーバに管理者アカウントで不正にアクセスし、個人情報が保存されたファイルを公開サーバに集めて保存していたという。