NW屋的日常徒然日記

ネットワークを専門にする元社内SEの日常とITネタ諸々を綴って行きます。

佐賀県教育情報システムでの情報漏洩問題について(12)

 こんばんは。佐賀県教育委員会の教育情報システムに関する続報ではありませんが、「ITと経営の融合でビジネスの課題を解決」という謳い文句の「ビジネス+IT」というサイトで取り上げられていました。

www.sbbit.jp

記事内容は管理面よりも無線LANイントラネットに焦点

 前文で「ネットワーク側の設定や運用に問題があると分析する専門家もいる」と触れられていますが、同記事にはこの点に関する記述はありませんでした。(掘り下げてみていただくようにTwitter上で編集責任者さんにお願いしてみました)

 同記事では無線LANイントラネットに関する記事が中心でした。記事中にはウォードライビングとありましたが、今までの報道からは最初から狙い撃ちだったように受け取れました。校外に電波が漏れていたことも知っていたように取れました。

 イントラネットが内部から攻撃された場合アウトだという記述がありましたが、最も大きな要因は「管理用IDとパスワードを教員や生徒が簡単に見られる場所(この場合はNAS)に置いてあったことでしょうか。そして、不正アクセス後も管理用IDのパスワードを変更していなかったこともダメダメな理由ではあります。

無線LANにフォーカスし過ぎな印象も…

 そして、無線LANの対策が甘かった故に不正アクセスされたという論調ですが、必ずしもそれだけではないようです。そのことは一旦横に置いておくことにします。

 どうも今回のケースはMACアドレスを偽装してMACアドレスフィルタリングをスルーしたのではないかと思われます。そのあたりの記述がなかったようです。

 「無線LANが宜しくない」という論調であれば、「重要な情報を扱っているのであれば、安易に無線LANを使わずに有線LANのみで構築するべきだったんじゃないだろうか。」という形で締めたらきれいだったかなと思いました。

 と、続編では是非県教育委員会や管理・構築業者のgdgdさ加減に思いっきりツッコミ入れてやって下さい。

 いずれにせよ、少年のハッキング能力賞賛以外の切り口での記事が出てきたことはいいことなのかなと個人的には思いました。

 無線LANに関しては明日以降に書こうと思います。<(_ _)>