NW屋的日常徒然日記

ネットワークを専門にする元社内SEの日常とITネタ諸々を綴って行きます。

佐賀県教育情報システムでの情報漏洩問題について(13)

 こんばんは。今日は日経コンピュータが取り上げてましたね。

itpro.nikkeibp.co.jp

 13日に電話取材したとかで。技術的視点に基づいて書かれています。ここでもやはり県教委の杜撰な管理やルール違反、構築・運用・管理を担う業者のgdgdさに関しては言及されていません。

 メッセージ機能に問題があったという指摘がなされていました。送信先指定時に自校の教職員及び生徒全員の名簿が参照出来るようになっていたとのこと。これを生徒のIDとパスワードでログインしてダウンロードしていたとのことです。

 ここではSEI-Net の具体的改修内容は不明ですが、全教職員・生徒の名簿は参照しないようです。それにしても、「めちゃくちゃセキュリティ的に甘くないか?」と思ったのでした。「同様の問題は起こらない」とのことですが、「他の問題が起こらない」とは言ってないところが少々不気味でもあります。校務管理機能については現段階では被害は確認されていないとのことです。インターネット経由で不正アクセス出来たことについては現時点では不明なようです。

 校内LAN不正アクセスに関しては、MACアドレス偽装によるフィルタリングを突破したことはどうやら確定のようです。WEPなんじゃないかと思ったら、WPA2でしたか。WPA2-EAPだったと書かれています。管理の杜撰さからWPA2-PSKだと思ったら、「デジタル証明書は使っていない」という点から、EAP-TLSではなく、EAP-TTLS(かEAP-PEAPの可能性も?)のようです。

 以前「パスワードは固定で変更を禁止していた」というような記述があったように記憶しています。ということは、無線LAN経由で接続する場合は共通のパスワードだった可能性は十分にありそうです。

 と、「ログが残ってないので、情報窃取はなかった」と県教委が回答しているそうですが、そもそもちゃんとログを取っていたのかどうかという点が明確になってないので、どうも額面通りには受け取れないなと思ってしまうのでした。

(今晩は遅くなりましたので、明日以降もう少し追加します)