中学生に指摘される校内ネットのセキュリティ 428
ストーリー by yoosee
鍵のかかってない金庫 部門より
鍵のかかってない金庫 部門より
techstrom 曰く、 "北海道江別市の中学校に通う中学生が、自分が通っている学校の校内ネットワークから成績などの情報を不正に取り出し、学校側に管理の甘さを指摘していたということが、北海道新聞や朝日新聞、その他で報道されています。その中学生は学校公務用コンピュータの校長のアカウントに「パスワードとして校長の名前」を利用して侵入、取り出したデータを印刷して教頭に提示し、「管理が甘い」と指摘したそうです。
生徒が取りだしたデータについては生徒のパソコンをチェックしてデータ流出が無いことは確認したそうですが、「流出が無い」などというチェックは簡単ではないでしょう。別途専門家に調査を依頼したのでしょうか。
朝日新聞では、『西脇校長は「学校のネットワークの管理や、私の情報管理が不十分だった。責任を痛感している。今後、情報の取り扱いなどについて厳しく指導していく」としている。』とありますが、北海道新聞では、それに続けて『「不正アクセスが重大な違法行為という生徒の認識が欠けていたことは残念」と話している。』だそうで。生徒のやった事自体は批判されてしかるべき事ですが、取り敢えず学校のネットワーク管理者がやることは、校長のアカウント停止だと思うのですが、いかがでしょうか。"
批判? (スコア:3, 興味深い)
そうか?賞賛されるべきじゃないか?
興味本位だったにせよ、最後はちゃんと名乗り出てるんだから。
>取り敢えず学校のネットワーク管理者がやることは、校長のアカウント停止だと思うのですが、いかがでしょうか。
校長が管理者だったりする罠
Re:批判? (スコア:2, 興味深い)
・勇気を持って教頭先生に報告したのはえらい。
・自分や友人の情報漏洩を防ぐために、学校のために、あなたは善いことをした。
・だが、善悪とは別に、あなたの行為は不正アクセスと定義されていることなのだ。
・自分が善いと思ったことなら法に触れることをしてもかまわない、と自分一人で決めたのではないだろうか?
・情報を入手してから学校へ突き付けるまでの期間、あなたは情報を悪用していないともちろん私は信じているが、もしそれを他人に疑われた場合、あなたの身の潔白を証明できるような工夫を何かしただろうか?
ぐらいかなぁ。
外から勝手なこと言ってすみません>本当の親御さん
中学生の属性 (スコア:2, すばらしい洞察)
外部の人と捕らえるかで批判されるかどうかは
違ってくる気がします。
「自分の学校の問題を発見した先生が、校長からほめられた。」
s/先生/生徒/
Re:批判? (スコア:1)
と,言うか校長はパスワード変更したのか?
校長の名前が報道に出てる以上は校内ネットに繋げられる
生徒・教職員なら全員が情報をぶっこ抜ける状態ってこったろ?
Re:批判? (スコア:2, 興味深い)
有効期限を短くすると、安易なパスワードになり易いことは一般的に知られているのでは?
命名ルールって、元々安易な奴は禁止されていると思うけど、弾くシステムを導入していないだけでは?
俺のパスワード管理は、USBメモリにテキストデータとして保存。(以前はFDに入れていた)
覚えようと思うこと自体が間違っていると思う。
パスワードの有効期限 (スコア:2, すばらしい洞察)
総当り攻撃を理論的に不可能にするだけの意味しかないと思います。
人間に対して、パスワード変更を頻繁に強要すれば、
・どこかに書いて覚えておく
・単純な(あるいは人にとって意味のある)文字列を使いまわす
などを行うことが考えら得れます。
これは、総当り攻撃以外の、ソーシャルハッキングや辞書攻撃に対しては
より脆弱な仕組みであると考えられるのではないでしょうか。
Re:パスワードの有効期限 (スコア:2, 興味深い)
うちの会社での最近の笑える話としては、各種のバラバラなシステムに対し "統一セキュリティポリシ" に従うよう 指令がでて、月末申請用システム(1月に1回しか使わない)のパスワードの有効期限が45日になったり、 なんていう事態が発生しています。 どう考えてもおかしい。
頻繁に変えれば総当たり攻撃に強いかという所も変で、 (仮にパスワードのエントロピが変わらなくても) ひたすら総当たり攻撃が続けられているのであれば、 1回の試行に対する突破期待値は変わらないので、長期間の攻撃を実施しての突破危険性も結局変わらないです。
変えない方が良い、とまでは思っていませんが、パスワードの有効期限の短さ競争みたいな 不毛な世界についてなんとかならんのか、と。
Re:批判? (スコア:3, すばらしい洞察)
物理的メディアの場合
- ネットワーク越しに盗難に遭う可能性が無い
- 盗難に遭えば素人目にも容易にわかる
- 各個人のリテラシに依存したパスワードの強度に頼らなくて良い
というメリットがあります。もちろん、一時的に拝借して使った後返せばわからないとか、パスワード管理の代わりに物理的メディアの管理を徹底しなくてはいけなくなるとか、物理メディアにしても完璧ではありませんが、フールプルーフという面では、パスワードよりは物理的「鍵」の方が安全性を高める事は容易になります。
あなたは平均的な個人のリテラシをかなり高く見積もっているようですが、実際はお粗末なものですよ。
実際、今国で議論されているキャッシュカードが窃用された場合の金融機関の責任の話でも、暗証番号に生年月日を使っている場合ですら軽過失です。
そのような人にリテラシ教育をするよりは、物理的「鍵」を作ってそれを大事に保管する事を徹底する方が余程簡単です。
Re:批判? (スコア:2, すばらしい洞察)
そうなったら
映 画 化 決 定
ですよ。日本中が涙しますよ。
Re:批判? (スコア:2, 興味深い)
これは省略せずに「パスワードを試して勝手にログインしようとしたり情報を盗み出した事は法律的に間違っているが、セキュリティの甘さを指摘して正直に名乗り出た事は人間的に正しい。」でないと、ハッキングが人間的に正しいとも受け取れてしまいますね。もっともこんな長ったらしい言い方されたら誉められたのかどうだか分からなくて困惑しそうですが。
いずれにせよ、その「良いことや悪いこと」の区別を教える事こそ教育ですから、この生徒の行動は賞賛ではないにせよ『最高の生きた教材』になったのではないでしょうか。しかも教えられたのは教師の方でもあったわけですし。
#「桜の木を切ったのは僕です!」ワシントンの話は創作だそうですが教訓としては今でも生きています。
Re:批判? (スコア:2, すばらしい洞察)
現状に合わない「家のメタファ」使うのをやめてくれないかね。
サーバは家じゃない。
ひっかかるんじゃあないの?とか予測でモノをいうのもやめてくれ。
法律読んできて [rhc.co.jp]。
第三条第一項の規定に違反した者が処罰を受けるのであるなら、
俺には五条にも罰則規定が欲しいかな。
ただこれ少年犯罪だからね。
Re:批判? (スコア:2, すばらしい洞察)
ただ、その場合も、教師かPTAの重鎮みたいな奴が先導し、校長が許可出したときだけなんじゃないの?
そもそも、校内のネットと職員室のネットが一つだったのが最大の問題だった気がする。
校内って広過ぎて、管理の徹底は無理だよな。
職員室だと大抵誰か先生いるだろうし、他の部外秘資料とかもあるから、生徒などが悪戯しにくい環境。
きっと今頃、当校はどうなっているかとか、騒ぎになっているところもあるんだろうな。
そもそも (スコア:3, すばらしい洞察)
校長のアカウントのパスワード設定が駄目駄目なこともあるけれど、
それ以上に生徒が触れる場所に校務用のPCを置いておいたことが、
一番駄目駄目だと思う。
関係ない人間にはまず、物理的、論理的に触れることができないように
するのがセキュリティの基本だと思うのだけれど…
Re:そもそも (スコア:2, 参考になる)
>生30日に徒と教員が共用するパソコンから学内業務用サーバーに侵入
>31日にパスワードを変更し、教員用と生徒用のLANを切り分けるなどの対策をとったと説明している。
とありますので、どのPCでもアクセスできたのでしょう。
でも、1日で、LANケーブルを敷設するなり、VPNを導入するなりできるのかな?LANの切り分けには、他にどんな手がありますか?
IPアドレスを分けるだけなんてのは、簡単に変更できるし、MACアドレスを登録しておくなら少し強そうだが、大変そうだし。
皆さん、どうされていますか?
Re:そもそも (スコア:1)
Re:そもそも (スコア:1)
>を置いておいたことが、一番駄目駄目だと思う。
記事では教師・生徒の共用パソコンから校務用サーバに入れたとあるよ
Re:そもそも (スコア:1)
生徒も使うパソコンから校務用サーバに接続できたこと自体が問題なんだと思いますよ。
ということですから。本気か?、北海道新聞よ (スコア:3, すばらしい洞察)
本気か?と思わず聞きたくなる意見ですな、これ。外部からの部外者の侵入じゃあるまいし、内部の人間が管理者に意見することもやるなってか?
学校組織上、実証もせずにこの学生が意見したとして、はたして聞き入れてもらえたのか?、そこも考慮しないと正しくないんじゃないですかねぇ。教師が生徒の意見を無条件に聞くとも思えんし。
#この生徒、処分されてないといいんですが。
Re:本気か?、北海道新聞よ (スコア:2, すばらしい洞察)
正規の権限がなく、他人のIDを用いてアクセスしているわけですから。それに成績管理の資料は本来生徒が見ていいような書類ではないです。
基本的に以前不正アクセスで捕まった大学の先生と同じような問題かと・・・。
Re:本気か?、北海道新聞よ (スコア:2, 興味深い)
にしても、セキュリティの問題とはいえ、実証しないと受け入れてもらうのは難しいでしょうし(特に相手が非技術者だとね)、そこが難しいところでしょうね。ましてや、自分が生徒、相手が教師だと、まともに証拠もなしに話を聞く教師がいるのやら。
実証すらやるなとなると、そりゃ洩れるまで判明しないのも無理ない罠と言いたくなるんだよね。侵入できるか?といった視点で動作テストをやってるシステムなんて、そんなに多くないですから。ましてや、セキュリティホールまで考慮するとなると。
Re:本気か?、北海道新聞よ (スコア:2, 興味深い)
実際にやらずとも、教師に伝達して、管理者が試したら、その通りだったとして、その時点で、パスがばれてる=漏曳だ!って思う可能性はゼロと言えないのではないかなぁ。技術職でもない連中にその辺りの理性があると思えんのよね。
まぁ、その前に教師と生徒の関係で、明確な証拠も無しに、教師が生徒の言うことを信じるなんてことはありえないと思いますけどね。おそらくは教師立ち合いの実証試験なんて頼んでもやらせてくれないと思いますね。
なんどか在学中に教師と議論したことがありますけど、明確な証拠(それも権威のある立場が証明したものでないと通用しなかった)が無い場合、何をしても無視か聞き流すかで、意見が通用したことはなかったですよ。手続をどうのこうのと書いてる人もいますが、その手続が通用しないのが教師という生物なんですよ(^^;
Re:本気か?、北海道新聞よ (スコア:2, すばらしい洞察)
しかし、どの報道を見ても「漏洩」「不正アクセス」ばかりなのが残念です。
中学生が行った事は確かに法律上は"不正アクセス"と言えるのでしょうが
それ以上に管理側の体制の甘さが批判されるべきです。
(ただ、中学生を称賛すべきでは無いと思います。)
興味本位でアクセスして下さいと言わんばかりの管理の方が悪いのではないかと。
Re:本気か?、北海道新聞よ (スコア:2, すばらしい洞察)
ここでこの中学生を褒めちゃうと調子に乗って...となるわけで。
できれば教育委員会などか校長を罰した後で、この中学生に直接「でも君のやったことは不正アクセスなんだよ」と注意するくらいはしてほしい所。そのへん教育者なんだからきちっと対処してほしい。
まぁ、後になって関係ない者がいってもしかたない所だか、教頭を呼びつけて目の前で実演すればよかったと思う。それなら学校側の認めた実演といえる。
セキュリティーホールの指摘のようなものは後ろ指さされないための熟考と理性が必要なんですよね。
Re:本気か?、北海道新聞よ (スコア:2)
それとも、IPA に届け出る程でも無く、指摘すれば済むと思ったのかな。
Re:本気か?、北海道新聞よ (スコア:2, すばらしい洞察)
しかし、杜撰な管理に対する「内部告発者保護」という視点も必要なのではないでしょうか?保護者やマスコミに流したわけでもなく、学校管理の要となる教頭に事態を正しく伝達している、問題の中学生のセンスはGoodだと思ってしまう。
# マスコミに流れたのはなぜだろう?
Copyright (c) 2001-2014 Parsley, All rights reserved.
Re:手続き的にまずいと思う (スコア:2, すばらしい洞察)
合法な正しい手続きでの指摘はほぼ不可能でしょう。何もわかっていない状態で、「とりあえず、試してみますね」と管理者を呼びつけて、延々とハッキングにつき合わせるなんてことは現実的じゃないし、事前に試してあったらその時点で不正アクセスになっちゃうし。
この生徒が、最初の不正アクセスをする前に遡ったとして、この生徒はどうするべきだったと思いますか?合法で可能なのは「なにもしない」ということだけでしょう。パスワードが簡単すぎたという結果を除けば、それが最善だったのでしょうが、それでは、他の悪意をもった生徒が気づいたらもっとひどいことになっていましたよね。
「正しいことなら何でも許されるというのは危ない考え方です。」には同意しますが、法律を守ってさえいればよいというのはあまりに性善説にたよりすぎな気がします。
今回のことからわかることは、不正アクセス防止法はうまく機能しないということではないでしょうか。
Re:手続き的にまずいと思う (スコア:2, 興味深い)
これの対策として直接「勝手試験容認」になる理由が判らないんですが。
個人情報の漏洩被害は漏洩先が唯一一人であったとしても漏洩であり被害です。
であるのであれば、試験する者自体を管理者が管理出来なければ、それ自体が大きなセキュリティホールであるという事に成ります。
その点に置いて不正アクセスを浸入を持って規定するってのは間違っては居いないかと思います。
で、別にこれは「通報するな」って意味でもなければ「試験はしない」って意味でも無い筈。
そう見える例が幾らか存在する事を拡大解釈して、大抵は自分都合で一般化しているだけです。
そう、通報するのもアリだし、通常は試験がされても何ら問題はありません。
只、「試験者として不適当な人間」と言うのは必ず存在するってだけです。
これは、自称セキュリティ専門家が情報を漏洩したり、善意の通報者が他人の成績ファイルをプリントしたりしている実情からも明らか。 必ず考える必要が有ることだし、それなしでの試験はそれ自体が情報を預けてくれているユーザーに対する加害に他なりません。
#誰だって正体不明の人間に自分の情報にアクセス出来るかもしれない事は、試させたくも無いはず。
勝手試験を行う人間には安全性の裏付けも、被害発生時に損害賠償を行う担保能力も不明な存在なのですから。
となれば、その問題点を取り払った選択肢が必要な訳で。
ま、取り敢えずは試験者の免許制度と保険加入。
後はユーザーに依る監査制度辺りを真面目にやらない限りは、まともな対処は出来ないでは無いかと思われます。
で、上に書いてある理由で判る様に、
「善意の通報者」は容認出来るとしても「善意の試験者」は容認自体が害だと思われます。
故に「通報する為には試験が必要」という、通報の義務も無ければそれを委託されたわけでも無いのに、勝手な理屈で浸入を試みる輩は、素直に不正アクセスで処理して構わない。いや、処理しなくては成らないと思います。
どんな改善の為の行動であっても、それを顧客やユーザーの危険を担保に行う事、それ自体が許されない。
故に個人情報保護法等が存在する訳なのですから。
Re:本気か?、北海道新聞よ (スコア:1)
セキュリティホールを善意から告発した(判定をどうするかは、
疑わしきは罰せず、方式でやらざるをえないだろう)場合は
罪に問わないことを明文化する必要があるんじゃないかな。
他の人も書いているけれど、口で言ったところで、それまで問題が
発生していなければ、
「小賢しい奴がなにか五月蝿いこと言っている」
程度の対応しかしてもらえないだろうし。(学校だしねぇ)
もう「実際にできる」ことを実証するしかないというところまで
思い詰めたのかもしれない。
#その辺りの事情ももう少し知りたいのでI.D.
善意の告発者の正当な取扱も、ソーシャルセキュリティの範疇では
なかろうか。
Re:本気か?、北海道新聞よ (スコア:2, すばらしい洞察)
セキュリティーホールを善意から告発する人がいなくなっちゃう。
情報の世界だけでなく、実社会のさまざまな場面で見て見ぬふり
を奨励しているようなものじゃないか。
善意の場合は賞賛されるべきと明示が必要ですね。
Re:本気か?、北海道新聞よ (スコア:3, すばらしい洞察)
つまり、侵入するという行為自体を処罰ないしは晒し者にすることにより、萎縮効果が生じて善意の侵入者(ホワイトハッカー)によるセキュリティホールの指摘がされなくなり、クラッカー天国になる。と。
正直、その指摘はあたりつつあるし、この問題はOffice氏事件の時にもっと真剣に討論されて、「不正アクセス防止法」の条文を変えて対処するべきだったと思いますが。
せめて (スコア:2, おもしろおかしい)
スーパーハッカー現る…? (スコア:2, おもしろおかしい)
「スーパーハッカーキタ━━━━(゚∀゚)━━━━ッ!!」
って思った人手を挙げてください.
ノ
立命館慶祥中 (スコア:2, 参考になる)
ある程度とんがった子供の比率が高そうな環境ですから、もし管理に甘いところがあれば今時の子供が相手です、突かれるべくして突かれたとも言えるのではと。というかイタズラとしては試すでしょう、校長の名前なんて。
いきなりIPAとかに話を持って行ったら面白かったかも(この場合は担当外でしょうか)
#塾で担当した生徒が何人か行っているのでAC
ほかもそんなものでは? (スコア:2, 興味深い)
一校はアクセス制限がかかっていましたが、制限用ソフトのパスワードが先生の名前だということは知れ渡っていたので、ほとんど意味がありませんでした。
#さすがにAC
#TAになったら教育区のドメイン管理者パスワードを教えられてびっくり
指導していく? (スコア:2, すばらしい洞察)
心の中では、自分にも責任があるとはこれっぽっちも思ってないんだろうなぁ。
校長のアカウント停止 (スコア:2, すばらしい洞察)
大抵の校長は、パソコンを使う仕事なんてあんまりないと思うのだが。
------------------------- DKjldajrweoifL+KDjaw -------------------------
セキュリティの評価基準ってないの? (スコア:2)
セキュリティの何らかの評価基準をどこかが作るべきだと思うが,ないのかな?
基準以下のセキュリティなら,管理者も責任を追求されるとか.
AD2XXX (スコア:1)
中に個人情報はなかったのでしょうかね。
どちらにせよ未成年による犯罪1件増。
やなぎ
字面じゃなく論旨を読もう。モデレートはそれからだ
教頭 (スコア:1)
システム管理者に直接言わないのは、この子供、怖い事しますね。
「システム管理者の先生や、校長に直接言ったら、もみ消されるかもしれない。
担任はムカツクし話したくない。
あっ!校長と仲が悪い教頭に言ったら、面白いことになるかも!」
#システム担当の先生にこっそり教えてね・・・
<ナイスな返事をいただいた方を、スラドモに指定する方針でいこうかと…恐縮ですが>
寝耳に水 (スコア:1)
あとは簡単な使い方を押して終わりでしょ
そんな状態で校長のアカウントでは入れたって言っても
対策としてパスワードをこまめに変えるしかないでしょうね。
たぶん、官庁関連も同様だと思います。
結局、本当にパソコンを使って情報の漏洩を防ぐなら
コンピュータを使える人材(資格保持者)を教員・公務員に含めるべきでしょう.
じゃないと何がヤバくて何が何が安全かすらわからないと思いますよ
#だいたい役所関連って素人の集まりなんだからさそこを叩いても意味ないと思うが
Re:寝耳に水 (スコア:1)
「パスワードがばれたら大丈夫じゃない」ことぐらいは理解できるでしょう?そんなこともわからんなら校長を辞めて欲しい。
今回のことに関して言うと、解決策は、
納入時のシステム要件に以下のセキュリティーポリシーを
盛り込むだけで相当違うと思います。
例え、現場に分かっている人がいなくても役所共通の
ポリシー規定で足りるはずです。
<問題点>
校長が脆弱なパスワードを利用していた
<解決法>
1)難解なパスワードを強制するシステムを導入(例えばwin2000 serverにはデフォルトで機能があったはず。*nix系だとなんだろ?でもどうせWindows使うんでしょう?)
2)一定期間でパスワード変更を強制(これも同上)
自分の学校での事例を挙げろ!(AC推奨) (スコア:1, 興味深い)
先生、生徒の住所等各種個人情報、テストの点数、成績表の評価が丸見えでしたよ
報告するとケチ付けられると思ったんでしませんでしたが
Re:自分の学校での事例を挙げろ!(AC推奨) (スコア:1)
2.管理ソフトの使用ではパスワードを聞かれるものの、データベースがMS-ACCESSだったので、パスワードなしで見ることが出来ました。
3.成績等を改竄することも可能でしたが、1学期の成績しか入っていませんでした。(見たのは、卒業間近の3学期末。)
自分の場合 (スコア:1, 余計なもの)
また、リモートデスクトップで学校のサーバにリモートアクセスしてみたり。
その他に、SkyMenuというソフトで管理されてるクライアントを、コンソールを弄って全クライアントを遠隔操作などなど・・・。
どこの学校もセキュリティが甘いものです。
ちなみに、その際のパスワードは"password"でした。
Re:自分の場合 (スコア:1)
学び舎なのだから (スコア:1)
Re:パスワード (スコア:2, 参考になる)
Re:パスワード (スコア:3, おもしろおかしい)
セキュリティー向上が図れるわけですな。
#どんな校長が来ても大丈夫。w
Re:おぉ、勇者! (スコア:1)
ネットワーク非接続だったとはいえ、生徒自身にやらせていたんで、書き変えされても不思議じゃなかったなぁ。当時から改竄可能だとは多くの生徒が認識してたと記憶にあります。入力作業に駆り出してもらわないと無理だったんで、どうやってそこを突破するかの方が問題だったが。
多分、私も外部からの侵入が可能だったらやってたかもしれないな。その意味で、この生徒の理性には感心しますねぇ。
Re:この手のネタだといつも出るんだけど (スコア:1)
背景や動機は調べる必要があると思われますが…。
ここから下は妄想ですが…
友人A:「おれたちの個人情報がどこかの業者や、怪しげな団体や、ネット上に流れているらしいよ」
友人B:「何でも、学校のPCから先生のアカウントで引き出されたものが売買されているらしいぜ」
件の生徒:「…最近ダイレクトメールや怪しい勧誘の電話が増えたのは、それが原因かもな。よし、いっちょう確認してみるか…」
件の生徒「アカウント:校長名、パスワード:校長名、と。…あ、本当に見れた…。なんてこった!基礎的な個人情報だけじゃなく、保護者面談の内容や、家族全員の病歴とかあんまり知られたくない家族の事情まで書かれているよ!!何とかしてくれ(@_@)」
なんてことがあってたりして:-P