Winnyで小学校の児童名簿が流出 205
ストーリー by wakatono
繰り返さないためにはどうしたら… 部門より
繰り返さないためにはどうしたら… 部門より
KAMUI曰く、"愛知県一宮市の市立小学校の児童名簿などが Winny 経由で流出した事を
ITmedia エンタープライズの記事が伝えている。
流出が確認されたのは件の小学校の 2003年度の全児童 535人と教職員 30人の個人情報などで,流出した児童名簿には住所・氏名・電話番号・保護者氏名・家族構成・通学グループ名が記載されており,運動会の写真・一部教科の成績表も含まれている。教職員名簿には住所・年齢・教員免許の種類・出身大学・卒業年月日が記載されており,学校内における個人情報がほぼ「もれなく」流出したと言った処か。"
"昨年 3月,同小学校校務主任の男性教諭(47)が自宅で作業する為にこの名簿を外部メモリに入れて持ち帰ったが,自分の PC の調子が悪い事から大学生の息子のパソコンを使用して作業を行った。この際に個人情報を残したままで,それが Winny を対象としたウイルスに感染して流出に至った様だ。しかし,こ~ゆ~流出経路も想定しなきゃならんのね・・・"
「何らかの可搬媒体による個人情報の持ち出し」というのを、最初の流出とみなす趣もあるだろう。もっとも、これについては考慮されなければならないことの一つといえる。もう、こういう情報も含め、容易に組織外に持ち出せないように「強制的に」するしかないのだろうか…
ビバ!情報共有、それが公務員クオリティ (スコア:3, おもしろおかしい)
その内容を勝手に予測してみた
心得その1
民間企業だって「やらかして [itmedia.co.jp]」るんだから、
別に気にすることは無い。たかだか訓告と、閑職が約束されるだけ。
一生喰っていけるんだから、お国の名誉のためにも死なないで!
死なれたらニュースになって、国に迷惑をかけるので。
心得その2
ファイル交換ソフトで情報交換、時代の先取り大いに結構じゃないか。
うっかり流出 [google.co.jp]は共有ソフトを作った作者が悪い、国の名誉をかけて厳罰に処す予定なので、
職員は安心してブロードバンド社会を満喫して、生活にゆとりを持って欲しい。
目的がなんであれ [cnet.com]、職員のプライバシーには関知しない。
えー違うの?あ、本音を文書化しちゃマズいのか。
Re:ビバ!情報共有、それが公務員クオリティ (スコア:2, 興味深い)
メンタリティ的にはともかく、仕事責任という意味では逃げてるのと同じでしょう。
自殺までしてあしざまに言われることに嫌悪感があるでしょうが、本来やるべきフォローを放棄していることには代わりがないので、周囲の関係者からしてみれば「逃げ」なのではないかと。
#責任とって辞職、も同じ理屈で無責任だなぁと思うことしばし
#辞職は罰であって、責任を取るのとはまた別の話だよね
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
ちと、気になったのが… (スコア:3, 興味深い)
教職員名簿で、出身大学に卒業年月日まで必要なのか?
別の組織向けの名簿っぽく思えてしまうのだが…
/* Kachou Utumi
I'm Not Rich... */
Re:ちと、気になったのが… (スコア:2, おもしろおかしい)
学閥を作って内部抗争するのに必須ですが何か?
Re:ちと、気になったのが… (スコア:1)
Winnyとウィルスがなかったら…… (スコア:3, すばらしい洞察)
昨年3月に校外にデータを持ち出して息子のPCで作業をし、
息子が閲覧できる状態にした時点で、守秘義務違反だろうし。
そしてWinnyで流出しなかったとしても、そのままだったら
やがてPCが故障したり中古で売り払ったりする可能性は高い。
となると、定番パターンで、HDDに残ったままになっていたデータが、
あるいは消したつもりになっていたデータが復元されちゃって
名簿業者に売られたりして、ああっ結局一緒じゃん。
Re:Winnyとウィルスがなかったら…… (スコア:2, すばらしい洞察)
# あそこはああしたい、こうしたい。でもとりあえず動いているから
いいや。
教職員の環境 (スコア:3, 参考になる)
一般に教員の労働環境てとても悪いものだと聞いてます。
真面目にやろうとすると家に仕事を持ち帰らないとできない仕事量だったりとか、
不真面目で済まそうとすればそれはそれで通っちゃったりとか。
で、どちらも給料が一緒とか。
PCだって十分に与えられてるとは言えない場合も聞きます。
順番待ちで結局家に持ち帰りとか。
再度言いますが、この方がどうだったかはしりません。
が、もしもこのような悪い条件で働いていたとしたら、
本人を罰するだけで済ませてはならない思うんですがどうなんでしょうね。
# 親が中学教師だったんで、見る目が甘いとは自覚してます。
# 家に帰ってきて酒を飲んでたのに、生徒が問題起こしたとかで、
# 自腹を切ってタクシーで現場に駆けつけたとかよくありましたよ
Re:教職員の環境 (スコア:3, すばらしい洞察)
それ以外を持ち帰ります。
あいちー業界でも同じですよね?
よって、まったく同情の余地はないと思います。
--- (´-`)。oO(平和な日常は私を鈍くする) ---
Re:教職員の環境 (スコア:2, すばらしい洞察)
私も一応あいちー業界に籍は置いてます。まあフリーランスなんで、
個人情報にはなるべくかかわらないようにしてます。面倒なんですよね…。
その割にお金にならない。だから逃げますw
ただ同情の余地無しでこの教師だけ切り捨てておしまい、
ではまた同様の事件が発生すると思えてならないんですよ。
まあ、それはあいちー業界にも言えますけどw
Re:教職員の環境 (スコア:2, 参考になる)
具体的には
もちろん、これが100%守られるとは限らないし、守られなかった場合にはやっぱり情報漏洩になるわけだけど、とりあえず規制かけとけば
「ダメっていったのにやっちまったノカー」
「漏前、だめぽ。」
って言えるわけで。で、言われるのやだったら「守ってね」ってなるわけで。
そーいう意味では、今回のケースで
というあたりに着目していく必要があるわけで。
Re:教職員の環境 (スコア:3, すばらしい洞察)
やらなくて済む環境まで整えるが管理職側の務めですよね。
管理体制の中にはSaySetさんがおっしゃったことのほかに
・十分なPCが与えられていたか
・仕事を持ち帰らずに済む仕事の割り振りをしていたのか
が問われます。言うだけなら誰だってできますもの。
こういう話を始めると「企業でもサービス残業をやってる、甘ったれるな」
というような論調が出てきますけど(SaySetさんがそうだと言ってるのではありません)
それは矛先が間違ってると思います。
なんで足の引っ張り合いをするんでしょう…。
原則としてサービス残業はしちゃいけないことだと思うんですが、
それを強化するような発言はかなり疑問に思います。
「おれなんざもっと我慢してるから、お前も我慢しろ」では、
ずっと我慢し続けなくちゃならなくなりますよ。
Re:教職員の環境 (スコア:1, 参考になる)
何か事件でも起きなければ予算はつかないし、人員の配置も「定員」が
決められているから、業務量が増えたからといってすぐに増員すること
もできない。(だから、暇な部署はトコトン暇)
#セキュリティーに関しても会計部門から「なにか問題が発生したのですか?」
#なんて聞かれる始末。セキュリティーに予算が割かれるようになったのは
#ここ数年の話だな。(まさにお役所仕事)
なもんだから忙しい部署でやる気のある人は業務の効率化のために必要な
情報のデータベース化をするわけだが、そもそもPCがなければ話にならな
いので自腹を切るしかない。
うちの職場も今でこそ一人1台体制となったけど、そこに至るまで、業務用
に3台もPCを買い替えたよ。
おれも大阪市役所に就職したかったー。(笑)
コメントにするとACでは面倒なので。 (スコア:3, 参考になる)
かといって、IDでは書きづらい部分もあるので。
・自宅にデータを持ち帰らないように、教育委員会等から指導されています。地区によって違うでしょうが、基本的に懲戒の対象です。
・今回の各種データは、教育委員会に提出する書類のデータと思われます。
・個人用にPCが配布されていない学校は、多く存在しますが、その場合には最低でもワクチンソフトをインストールするように指導しています。データ更新はその次の段階です・・・セキュリティ意識の弱い人が多く、誰かが何とかしてくれると考える人も多いのです。
・PCが配布されている場合でも事務作業用としてですので、自分に必要なアプリケーションを使うために、個人用のパソコンを持ち込んでいる人は多く存在します。
・就業時間後に生徒や児童の面倒を見てもらうように他の教諭に頼むのは難しいものです。教頭や校長でも指示が出せる内容は少ないのです。
・卒業アルバムは住所や電話番号は数年前から掲載をしない方向になっています。
・校務でない内容の仕事が回ってくることがあります。結構色々な団体があるんですよ。断ればいいといわれるが、人にはしがらみというものがあるのですよ。
・公立学校の場合は個人情報保護法ではなく、各自治体で定められる個人情報保護条例です。
・定時に帰る人も居れば、定時前に帰る人も居ます。午前様も居ます。不夜城と呼ばれる学校もあります。それでも給料は同じです。給料に差をつけないこと、それが各教職員組合の主張です。
こんなもんかな?休憩中とはいえAC
Re:コメントにするとACでは面倒なので。 (スコア:2, 参考になる)
先生って、校長と教頭を除けば全員が平社員で(教務主任などは準管理職みたいな扱い)それぞれが対等な立場にあるので、マネージャ役が不足していて横の連携が取りにくくなっている。
友人の先生らと話をしていると、「誰かがリーダになって的確に指示を出せばもっと良くなるのに」と感じることが少なくない。
Re:コメントにするとACでは面倒なので。 (スコア:2, 参考になる)
しかし、全員が対等な立場であるように強く運動を起こしているのは教職員組合です。支給された手当も返還しようとしています(受け取ってもらえないので組合であずかっているらしい)。
というわけで、学校の状況がよくならない一因には、阿呆な教職員組合があると思われます。
#そんな組合の一員なのでAC
ニュースソースは? (スコア:2, 興味深い)
タレコミ中でリンクが張られている ITmedia エンタープライズの記事には,「使用した家族所有のPCが」としか書かれていないのですが,「大学生の息子の」という情報はどこから得られたのでしょうか.読む側の参考になるので,情報源はちゃんと書いておいていただきたいです.
# ひょっとして ITmedia の記事が,タレコミが書かれた時点以降に
# 書き換えられたのでしょうか?
「趣」?
Re:ニュースソースは? (スコア:2, 参考になる)
ネット上では 中日新聞の記事 [chunichi.co.jp](息子の記述あり)と
YOMIURI ON-LINE の記事 [yomiuri.co.jp](大学生の息子の記述あり)がありますね。
最初の流出 (スコア:2, 興味深い)
教育委員会や学校内部の個人情報管理体制が甘すぎ。
Re:最初の流出 (スコア:2, 参考になる)
>教育委員会や学校内部の個人情報管理体制が甘すぎ。
Internet Watchの記事 [impress.co.jp]によると、
「なお、この教職員は全校児童の安全の確保や学校設備の予算を管理する校務主任という役職に就いていた。 」
ということらしいので、そういう類の情報を閲覧する権限はあったようです。
Winny系Virusへの有効対策は? (スコア:2, 興味深い)
「魔法の玉手箱」と組み合わさることで非常に強力な威力を
発揮することがまたしても実証されましたね。
コンピュータウィルスというのは、非常に高度で小さな脆弱性を
ついてくるものと、テクノロジーとしては低レベルだが、それが
与える(経済的・社会的)被害が大きいものに分けられて来たように思う。
基本的には人間という背キュルティホールを突かれている以上、
完璧な対策は難しいと思うが、そろそろアプリケーションごとに
ファイルアクセスの権限を細分化する対策が必要になる気がする。
ファイアーウォールソフトなどでは、ネットワークへアクセスする
アプリケーションを監視し、バイナリが入れ替わったりした場合は
警告するようだが、こういった機構を、ネットワークアクセス
だけでなく、ローカルファイルアクセスにも適用するというのは
どうだろうか?
.NET Frameworkにより実現されます。 (スコア:2, 参考になる)
アプリケーションの実行者を完全信頼するモデルです。
インターネットの普及でこの実行者を信頼するモデルではセキュリティーが確保しきれなくなったため、.NET Frameworkでは、コード単位で信用を確認するモデルに切り替わります。
そもそもパソコンがいらんない? (スコア:2, 興味深い)
教師一人ひとりにパソコンなんぞなかったぞ。
学校内にワープロ一台あったのみ。
今の教育と昔の教育はそんなに違うのか?
名簿なんてエクセルに入れておく必要ないじゃん。
どこもかしこも、馬鹿みたいにパソコンなんか必要ないじゃんないの。
教えて、エロい人 (スコア:1, 興味深い)
Winnyがファイル共有ソフトってのはわかるのですが
実際感染するにはワレとか開いてが実行して感染しるような気がするんですけど
Winny経由で感染させるって方法があるんでしょうか
も一つ
感染するとWinnyのソフトを経由してアップロードするんでしょうか?
それともアップロードするフォルダーにファイルをコピーとかするんでしょうか
この場合自分で感染してることが把握できると思いますがけど
感染しても自分で気づくものなんでしょうか
#Winnyとかファイル共有ソフトを使った事がないのでエロい人お願いします
Re:教えて、エロい人 (スコア:2, 興味深い)
人が手動で実行しています。
割れじゃなくても、zipファイルをダブルクリックして展開して、その勢いで出てきた「アイコンをフォルダの絵に偽装されたexe」を実行してし
まうのです。
実行されたウィルスはマイドキュメントとかデスクトップにあるファイル(デスクトップのスクリーンショットも)をまとめて圧縮し、Winnyのアップロードフォルダにぶっこみます。たしか。
ていうか「キンタマ(俺のデスクトップ)」とかでぐぐれ。
#今まさに風呂から上がってきたところなのでエロい人でよいだろう
##うろ覚えなのでもっとエロいひとよろしく
Re:教えて、エロい人 (スコア:2, すばらしい洞察)
>自分の PC の調子が悪い事から大学生の息子のパソコンを使用
すでに別のWinnyのウイルスなり、スパイウェアに感染していても
全くおかしくない状況の気がしますね。
で、一時的に間借りしたPCにてネットに繋ぎながら
>小学校の 2003年度の全児童 535人と教職員 30人の個人情報
>住所・氏名・電話番号・保護者氏名・家族構成・通学グループ名
>運動会の写真・一部教科の成績表・教員免許の種類・出身大学・卒業年月日
を扱う作業は校務主任といえども必要性が無いはず。
大体、2003年度って中途半端な年度からすると、2年前のデータで仕事をしていた
ってよりも2年間は「借りていた」と思われるのが一般的じゃないのかね。
こういったクリティカルな情報を記録したら、もはや家族共用でしたなんて
言い訳をするのは通らないと思うね。今時、自業自得のキンタマウイルスでなくても
ファイルを暗号化して「人質」にする [srad.jp]みたいな取り返しのつかない奴とか
そこまで行かなくてもリスクが高いんだから、大学生の息子がネットに
繋ぐのを許すなんて、
いくら信用してる家族でもぶっちゃけありえない。
Re:教えて、エロい人 (スコア:2, 興味深い)
タレコミ文のリンクでは見つけられなかったけど、タレコミ文に「この際に個人情報を残したままで」って表現があるってことは、2年間借りていたと言うより2年前に作業してそのままデータを放置と考える方がいいのでは?
いずれにしたってありえない無用心さだけど。
Re:教えて、エロい人 (スコア:1, 参考になる)
すべてのドライブとスクリーンショットをWEB上に公開します。
しかし、名古屋市に住んでいるので・・・いろんな意味で身近です。
Re:教えて、エロい人 (スコア:2, 参考になる)
現在の主流は「フォルダに見せかける」、「動画に見せかける」等でダブルクリックさせると実は実行ファイルだったというタイプで気をつければ実行しないのですが、その辺は思わずクリックさせるようなファイル名が付いていたりします。
winny、winnyと言ってますが、別にwinny経由だけで感染するわけではないですし、ワーム動作なしというのもありますし、話題の「山田ウイルス」のように自鯖作って公開というのもあります。カワイソス(いまだに初期亜種含んで一日300以上のIPからにちゃんねるに「今でも」30000以上の書込みをしてます。後期亜種を含めればさらに増えるでしょう)
結局のところ狙われるのはライトユーザーなので、コミックとか(対応ファイルが出たかどうかわからなく、一般報道されていない「デスノート」というデスクトップ晒し型もあります)音楽ファイが最近よく狙われているような気がします。
アンチウイルスベンダーは別にwinnyに対して積極的な安全策を提供しているわけではありませんし、ある意味で「話題になったから対応せにゃならんね」というところもなきにしもあらずという気がします。
(一例で言えば亜種が多いリネージュIIのキーロガーはkakaku.com事件で各社あっというまに対応しました)
結局ソーシャルセキュリティテクニックが主流なので、最大の防衛策は「踊らない」の一言につきると思います。しかし、踊る人は多く、毎日新聞はこのところ毎日報道ですね(旧湯沢市、そうま農協、ドコモ、この小学校のもすべて「仁義なきキンタマ(通称) [itmedia.co.jp]」です。毎日新聞がその気なら^^;まだまだ報道は続きます)
#「中の人」なのでAC
Re:教えて、エロい人 (スコア:1)
>はないですし、ワーム動作なしというのもありますし
オリジナルを持っていないファイルをオリジナル以外の所からDLする
P2Pがリスク要因ということで良いんでしょうか?
ヘビーなユーザーは専用機を立てるので晒し系の攻撃に強いという
だけのこと?
Re:教えて、エロい人 (スコア:2, すばらしい洞察)
結局、メールで受け取ったウイルスファイルをダブルクリックするのと同じ次元の話。
受け取った時点でWinnyが動作している事が前提となるため、自前でSMTPを起動して送るウィルスよりも遥かに効率的に動作するけどね。
最初は愉快犯だったんだろうけど、ひっかかた人間が致命的なファイルをばら撒いてくれる事が予想以上に多かったので、こんなにはびこっちゃったんだろうね……。
--- どちらなりとご自由に --- --
Re:Winnyを自前で持つウィルスってあり? (スコア:3, 参考になる)
・ウィルスの発症症状としての、個人情報の流出経路
は分けて考えるべきでしょう。
メールなどで感染して、内蔵WinnyでPC内の情報をばらまく、
というのは有り得るんじゃないでしょうか?
PC内の情報の流出って、ファイル削除とかの破壊行為よりも怖いものなわけで、
しかも、通常のメールとかhttpアクセスとかで情報が流出した場合は、追跡や削除が可能かもしれないけど、
Winnyに流れるともはや削除不能ですから、
それを「Winny使ってないから大丈夫」って安心できない世界になるのはすごく怖いですね。
Re:教えて、エロい人 (スコア:1, 興味深い)
> Winny経由で感染させるって方法があるんでしょうか
ユーザーの操作なしに感染させる方法はありません。
ですが、感染者がWarezをダウンロードしたとは限りません。
主に、
・「○○.zip.exe」って名前のファイル
・「○○.mp3.zip」みたいなファイルで、で、中に、元々共有されているファイルのほかに「○○.exe」も入っている
みたいな形で、ユーザーのうかつな操作によって感染します。
> 感染するとWinnyのソフトを経由してアップロードするんでしょうか?
> それともアップロードするフォルダーにファイルをコピーとかするんでしょうか
・共有フォルダにファイルをコピーするもの
・Winnyの設定で新しい共有フォルダを追加するもの
があります。
前者は共有フォルダを設定していない場合は問題ないですけど、
共有フォルダにファイルが山ほどあると、なにかコピーされても気づきにくいです。
後者は、共有フォルダを設定しなくても安心できない(流出が起きます)が、
そういう事態になってることに気づきやすいです。
Re:教えて、エロい人 (スコア:2, 興味深い)
> ・Winnyの設定で新しい共有フォルダを追加するもの
があります。
開発者捕まえて開発ストップさせたことは
かなりまずいことやったことになるよね
いたちごっこになるにしても
Winnyの設定を他のソフトが簡単に読み書きできないようにできるのは開発者だけだし
現状では意図しない共有に対してなにも対策とれないままだから
ユーザーがいなくなるまでこの手の漏洩は増える予感
Re:教えて、エロい人 (スコア:1, 参考になる)
を利用してスタートアップディレクトリにexeを投下する場合があるようです。
ほかにも
○○.mp3.zipの書庫内に○○…長いスペース….exeというファイル名の
フォルダのアイコンに偽装した実行ファイルをダブルクリックさせる場合も。
想像するに (スコア:1, 参考になる)
親父の PC にもウィルスとかスパイウェアが入ってたんじゃなかろうか?
一般の使用レベルなら、アンチウィルスが効いてる WinNT系の環境が不調になるとは思えんし、Win9x系でも決まったアプリケーションしか使わない環境だったら長期間安定している事の方が多い。
偶然 HDD がコケた可能性も考えられる訳だが、故障しなくとも遅かれ早かれという気がしてならない。
周りを見ていても、特に40代以上の人は PC 運用時のリスクを無視して、とにかく目の前の仕事を片付けたがる傾向にある気がする。
若い連中のお手本にしたくないような人が多くて困る。
Re:想像するに (スコア:4, おもしろおかしい)
反面「教師」
/* Kachou Utumi
I'm Not Rich... */
Re:想像するに (スコア:1, 参考になる)
そうですねぇ.以前,職場で「管理職に対するPCの(セキュリティ)講習をやってくれ」と要望したことがあります.一応は全職員対象のセキュリティ講習が開かれたのですが,どうやら「管理職クラスの職員がある意味一番ヤバイ」という認識は持ってもらえなかったようです.
# うちはIT系じゃなくて,普通の(?)小さな企業です.
スキルが低いのは仕方がない面もありますが,自分のスキルが低いことは認めてもらいたいものです.いや,スキルが低いというより,セキュリティ上のリスクという概念が彼らにあるかどうかが怪しいというべきか……orz
親子関係は... (スコア:2, 興味深い)
今後どうなってしまうのだろうかと他人事ながら..
事実関係はともあれ、素直に非を認めて、辞職するなりした方がよかったのでは。
Re:ふうぅぅん (スコア:1, おもしろおかしい)
Re:ふうぅぅん (スコア:2, すばらしい洞察)
あの~、ごく普通に見られることですが。。。
#つーか、これがデフォな気がします。
Re:ふうぅぅん (スコア:1, 興味深い)
まぁ流出したファイルにはデスクトップの画像も含まれているだろうから、
壁紙の趣味を見れば、本当に大学生の息子のパソコンから
流出したのか、中年親父のパソコンから流出したのか、すぐわかるだろう。
Re:ふうぅぅん (スコア:2, すばらしい洞察)
どのような経緯や経由で流出したかの開示を優先しただけに思えますが?
あと、別の人への警鐘とか。
現にこういう件があったわけですから、家族であっても他人が管理するPCを使う前には注意しよう!って啓蒙になるかと。
・・・って、他人のPCは信用しないのはあたりまえの事ですな。
Re:ふうぅぅん (スコア:1, おもしろおかしい)
双方燃え系壁紙の可能性に1カノッサ
#書いていてorz
Re:ふうぅぅん (スコア:2, すばらしい洞察)
息子がき○たま踏んでWinnyへ流しちゃった事は責められる事じゃない。
Re:ふうぅぅん (スコア:2, すばらしい洞察)
「家庭で子供を教育するプロ」じゃないですよね。
どのあたりにそんなプロがいるんでしょうか?主婦?
virutual氏のコメント [srad.jp]のように、こういったものを
職業と結びつける議論は、正直言ってあまり信用できません。
Re:ふうぅぅん (スコア:2, すばらしい洞察)
だから、「教師のくせに自分の子供の教育もまともにできないんだな」的な批判は的はずれですよということを言っているのでは?
Re:最高レベルのセキュリティでWinny使ってました (スコア:1, おもしろおかしい)
カカクメソッド [hatena.ne.jp]ですね?
Re:幇助とか言わないでね (スコア:2, すばらしい洞察)
Winnyって確か情報の初出の場所は分からないんですよね。自分で適当にスクリーンショットを捏造してそれらしい情報を添えて、「キン~~~のドキュメント.zip」と命名してWinnyに流せばよいのでは。てな事を前に書きました。 [srad.jp]
ついでに質問。どなたかこの攻撃に対する有効な防御策をご存知ありませんか?
Re:心配しなくても (スコア:2, 興味深い)