6高校の成績情報など流出 不正接続容疑で17歳再逮捕
人の作るシステムには必ず穴があると・・・恐ろしい話です。
最初はどうせまたネットリテラシーの低い教員がIDとパスワードを紙に書いて置いたのを盗み見られたのかと思っていましたが、どうもこの少年、例のB-CASカードの暗号を解読し、無料で衛星放送を見られるようにする方法をネットに投稿したとして逮捕されていたいわくつきの人物だったようです。家宅捜索で自宅を調べた所侵入していたことが発覚していたという話で、おそらく逮捕されて調べられるまで学校側は侵入されていたことすら気づかなかったのでしょう。「少年宅のサーバーにデータがあった」という一文が恐ろしさを倍増させていますね。そのサーバー、他にも色々入っているのだろうなあ・・・
B-CASカードといえば、現在ほぼ全てのデジタルテレビに使われている暗号技術ですから、素人目にもものすごい利権であることは分かります。テレビ局から送られる情報はこのカードがなければ受信できないわけですから完全独占状態ですし、例えばWOWOWなどの有料放送は、元々暗号化されて送られていて、それを見たい場合にお金を払って暗号を解除してもらうことで見られるようになるわけです。そのシステムの開発にはおそらくNHKや民法だけじゃなく国も関わっているでしょう。そんな全放送会社と国の威信がかかったセキュリティを解除してしまうのですから、一地方公共団体のセキュリティなど小手調べにもならなかったでしょうね。
現在の学校の個人情報の考え方は、「色んな場所に隠しておいて流出被害を最小限にする」分散管理ではなく、「一ヶ所に集めて厳重管理することで流出被害を防ぐ」一元管理にシフトしています。教諭が成績の入ったUSBメモリを紛失する事件が続いたので致し方のない流れなのですが、一元管理となると学校内で全ての成績処理を行い、外部に一切持ち出さないことになります。しかし、自分の経験則からの現実的な話、成績処理には本来業務とは別に30時間ほどかかるので、子どもが帰ってから諸会議などを終え、日常の残務整理を終えると実質的な勤務時間内でそれを行うのは不可能であり、10時11時までかけてやっていくしかないわけです。独身貴族ならできますけど、家庭のある状況では中々難しいでしょう。なのでセキュリティをかけて一時的にUSBで持ち出すなど、いろいろと抜け道があるわけですが、どうやら佐賀県の場合は教諭宅から学校のサーバーにアクセスして成績情報を入力するなどの措置をとるようなシステムになっている模様です。確かにセキュリティが完璧ならこれ以上ない便利なシステムですが、反面それは校内の完全独立イントラネットではなく、外部から不正にアクセスされる可能性が0でないことを示唆しています。それでなくとも、生徒が学校のサーバーにアクセスして情報を引き出すシステムと成績処理を同じサーバー内で扱っている場合、いくら厳重なセキュリティがかけられていたとしても、つきつめればハッカーにとって「解除できるか否か」つまりハードルの高さの問題に過ぎなくなってしまうわけですな。
まあこの少年の場合、B-CASの件もおそらく数学の難問を解くような気持ちだったのでしょう。学校システムへの侵入はおそらく手近なところでハッキングを試みただけの単なる「足がかり」であって、その情報を元に学校を脅したり何らかの利益を得ていたわけではないようです。実際、自分や友人の情報ならまだしも、関係のない高校の成績まで盗み見たところで面白いものでもないでしょうし、21万件を個人で全て見たとは到底思えません。単なる戦利品の蒐集が目的だったのではないでしょうか。学校に侵入して窓ガラスを割るようなものであり、もちろんそれも犯罪ですけどまだ内向きというか、世間の狭さを感じさせる行為です。しかしその成功に味を占め、B-CASカードという日本最大級の利権をダメにしてしまうような犯罪に走ってしまったのは残念としか言いようがありません。17歳無職とありますが、才能の無駄遣いに勤しまず、さっさと必要とされる企業へ就職するか、もしくは起業すべきでしたね。そういう面のサポートが今の教育現場でできていないことが悔やまれます。
もちろん情報管理に甘い教員はたくさんいるのでそちらの方も問題ですが、セキュリティ対策はそもそもいたちごっこですし、もうここまで来ると、ある程度守られていても所詮詳しい人に狙われたら太刀打ちできないというものなのでしょう。「厳重」である前提で一元管理が行われているわけですけど、大体、自分の成績処理で手一杯で人の作った成績まで見る余裕は教員にもありませんからね。それこそ自分に必要のない情報まで閲覧するのは個人情報保護法違反なわけで、一元管理まではいいとして、それをノーガードで共有しておく必要は全くないような気もします。仮に不正アクセスされてデータをコピーされても、全てのファイルに教諭本人しか分からないようなパスワードがかかっていれば、いちいち解除して1つ1つ盗み見ようとまでは思いませんからね。「カギを複数つけることで侵入自体を諦めてもらう」防犯作戦がこの際有効なのかもしれません。
まあこの少年には、じっくり反省した後ぜひ将来の日本のセキュリティ向上の面で活躍してもらいたいものです。
人の作るシステムには必ず穴があると・・・恐ろしい話です。
最初はどうせまたネットリテラシーの低い教員がIDとパスワードを紙に書いて置いたのを盗み見られたのかと思っていましたが、どうもこの少年、例のB-CASカードの暗号を解読し、無料で衛星放送を見られるようにする方法をネットに投稿したとして逮捕されていたいわくつきの人物だったようです。家宅捜索で自宅を調べた所侵入していたことが発覚していたという話で、おそらく逮捕されて調べられるまで学校側は侵入されていたことすら気づかなかったのでしょう。「少年宅のサーバーにデータがあった」という一文が恐ろしさを倍増させていますね。そのサーバー、他にも色々入っているのだろうなあ・・・
B-CASカードといえば、現在ほぼ全てのデジタルテレビに使われている暗号技術ですから、素人目にもものすごい利権であることは分かります。テレビ局から送られる情報はこのカードがなければ受信できないわけですから完全独占状態ですし、例えばWOWOWなどの有料放送は、元々暗号化されて送られていて、それを見たい場合にお金を払って暗号を解除してもらうことで見られるようになるわけです。そのシステムの開発にはおそらくNHKや民法だけじゃなく国も関わっているでしょう。そんな全放送会社と国の威信がかかったセキュリティを解除してしまうのですから、一地方公共団体のセキュリティなど小手調べにもならなかったでしょうね。
現在の学校の個人情報の考え方は、「色んな場所に隠しておいて流出被害を最小限にする」分散管理ではなく、「一ヶ所に集めて厳重管理することで流出被害を防ぐ」一元管理にシフトしています。教諭が成績の入ったUSBメモリを紛失する事件が続いたので致し方のない流れなのですが、一元管理となると学校内で全ての成績処理を行い、外部に一切持ち出さないことになります。しかし、自分の経験則からの現実的な話、成績処理には本来業務とは別に30時間ほどかかるので、子どもが帰ってから諸会議などを終え、日常の残務整理を終えると実質的な勤務時間内でそれを行うのは不可能であり、10時11時までかけてやっていくしかないわけです。独身貴族ならできますけど、家庭のある状況では中々難しいでしょう。なのでセキュリティをかけて一時的にUSBで持ち出すなど、いろいろと抜け道があるわけですが、どうやら佐賀県の場合は教諭宅から学校のサーバーにアクセスして成績情報を入力するなどの措置をとるようなシステムになっている模様です。確かにセキュリティが完璧ならこれ以上ない便利なシステムですが、反面それは校内の完全独立イントラネットではなく、外部から不正にアクセスされる可能性が0でないことを示唆しています。それでなくとも、生徒が学校のサーバーにアクセスして情報を引き出すシステムと成績処理を同じサーバー内で扱っている場合、いくら厳重なセキュリティがかけられていたとしても、つきつめればハッカーにとって「解除できるか否か」つまりハードルの高さの問題に過ぎなくなってしまうわけですな。
まあこの少年の場合、B-CASの件もおそらく数学の難問を解くような気持ちだったのでしょう。学校システムへの侵入はおそらく手近なところでハッキングを試みただけの単なる「足がかり」であって、その情報を元に学校を脅したり何らかの利益を得ていたわけではないようです。実際、自分や友人の情報ならまだしも、関係のない高校の成績まで盗み見たところで面白いものでもないでしょうし、21万件を個人で全て見たとは到底思えません。単なる戦利品の蒐集が目的だったのではないでしょうか。学校に侵入して窓ガラスを割るようなものであり、もちろんそれも犯罪ですけどまだ内向きというか、世間の狭さを感じさせる行為です。しかしその成功に味を占め、B-CASカードという日本最大級の利権をダメにしてしまうような犯罪に走ってしまったのは残念としか言いようがありません。17歳無職とありますが、才能の無駄遣いに勤しまず、さっさと必要とされる企業へ就職するか、もしくは起業すべきでしたね。そういう面のサポートが今の教育現場でできていないことが悔やまれます。
もちろん情報管理に甘い教員はたくさんいるのでそちらの方も問題ですが、セキュリティ対策はそもそもいたちごっこですし、もうここまで来ると、ある程度守られていても所詮詳しい人に狙われたら太刀打ちできないというものなのでしょう。「厳重」である前提で一元管理が行われているわけですけど、大体、自分の成績処理で手一杯で人の作った成績まで見る余裕は教員にもありませんからね。それこそ自分に必要のない情報まで閲覧するのは個人情報保護法違反なわけで、一元管理まではいいとして、それをノーガードで共有しておく必要は全くないような気もします。仮に不正アクセスされてデータをコピーされても、全てのファイルに教諭本人しか分からないようなパスワードがかかっていれば、いちいち解除して1つ1つ盗み見ようとまでは思いませんからね。「カギを複数つけることで侵入自体を諦めてもらう」防犯作戦がこの際有効なのかもしれません。
まあこの少年には、じっくり反省した後ぜひ将来の日本のセキュリティ向上の面で活躍してもらいたいものです。
※コメント投稿者のブログIDはブログ作成者のみに通知されます