パスワードを忘れた? アカウント作成
10260 story

中学生に指摘される校内ネットのセキュリティ 428

ストーリー by yoosee
鍵のかかってない金庫 部門より

techstrom 曰く、 "北海道江別市の中学校に通う中学生が、自分が通っている学校の校内ネットワークから成績などの情報を不正に取り出し、学校側に管理の甘さを指摘していたということが、北海道新聞朝日新聞その他で報道されています。その中学生は学校公務用コンピュータの校長のアカウントに「パスワードとして校長の名前」を利用して侵入、取り出したデータを印刷して教頭に提示し、「管理が甘い」と指摘したそうです。
生徒が取りだしたデータについては生徒のパソコンをチェックしてデータ流出が無いことは確認したそうですが、「流出が無い」などというチェックは簡単ではないでしょう。別途専門家に調査を依頼したのでしょうか。

朝日新聞では、『西脇校長は「学校のネットワークの管理や、私の情報管理が不十分だった。責任を痛感している。今後、情報の取り扱いなどについて厳しく指導していく」としている。』とありますが、北海道新聞では、それに続けて『「不正アクセスが重大な違法行為という生徒の認識が欠けていたことは残念」と話している。』だそうで。生徒のやった事自体は批判されてしかるべき事ですが、取り敢えず学校のネットワーク管理者がやることは、校長のアカウント停止だと思うのですが、いかがでしょうか。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 批判? (スコア:3, 興味深い)

    by Anonymous Coward on 2005年06月04日 18時00分 (#746059)
    >生徒のやった事自体は批判されてしかるべき事ですが、

     そうか?賞賛されるべきじゃないか?
     興味本位だったにせよ、最後はちゃんと名乗り出てるんだから。

    >取り敢えず学校のネットワーク管理者がやることは、校長のアカウント停止だと思うのですが、いかがでしょうか。

     校長が管理者だったりする罠
    • Re:批判? (スコア:2, 興味深い)

      by Anonymous Coward on 2005年06月04日 22時29分 (#746237)
      うーん、もし自分の子供が同じことをしたらどう言うかなぁ。

      ・勇気を持って教頭先生に報告したのはえらい。
      ・自分や友人の情報漏洩を防ぐために、学校のために、あなたは善いことをした。
      ・だが、善悪とは別に、あなたの行為は不正アクセスと定義されていることなのだ。
      ・自分が善いと思ったことなら法に触れることをしてもかまわない、と自分一人で決めたのではないだろうか?
      ・情報を入手してから学校へ突き付けるまでの期間、あなたは情報を悪用していないともちろん私は信じているが、もしそれを他人に疑われた場合、あなたの身の潔白を証明できるような工夫を何かしただろうか?

      ぐらいかなぁ。
      外から勝手なこと言ってすみません>本当の親御さん
      親コメント
    • 中学生の属性 (スコア:2, すばらしい洞察)

      by t_miyabi (15946) on 2005年06月05日 14時47分 (#746543) ホームページ
      その中学生を内部の人ととらえるか
      外部の人と捕らえるかで批判されるかどうかは
      違ってくる気がします。

      「自分の学校の問題を発見した先生が、校長からほめられた。」
      s/先生/生徒/
      親コメント
    • by KAMUI (3084) on 2005年06月04日 18時05分 (#746065) 日記
      管理者が別の教師なら校長のアカウントを停止出来るとは思えない・・・

      と,言うか校長はパスワード変更したのか?
      校長の名前が報道に出てる以上は校内ネットに繋げられる
      生徒・教職員なら全員が情報をぶっこ抜ける状態ってこったろ?
      親コメント
  • そもそも (スコア:3, すばらしい洞察)

    by AliceYou (2190) on 2005年06月04日 18時02分 (#746060) 日記

    校長のアカウントのパスワード設定が駄目駄目なこともあるけれど、
    それ以上に生徒が触れる場所に校務用のPCを置いておいたことが、
    一番駄目駄目だと思う。

    関係ない人間にはまず、物理的、論理的に触れることができないように
    するのがセキュリティの基本だと思うのだけれど…

    • Re:そもそも (スコア:2, 参考になる)

      by tsurukame (19590) on 2005年06月04日 18時49分 (#746100)
      記事には
      >生30日に徒と教員が共用するパソコンから学内業務用サーバーに侵入
      >31日にパスワードを変更し、教員用と生徒用のLANを切り分けるなどの対策をとったと説明している。

      とありますので、どのPCでもアクセスできたのでしょう。
      でも、1日で、LANケーブルを敷設するなり、VPNを導入するなりできるのかな?LANの切り分けには、他にどんな手がありますか?

       IPアドレスを分けるだけなんてのは、簡単に変更できるし、MACアドレスを登録しておくなら少し強そうだが、大変そうだし。
      皆さん、どうされていますか?
      親コメント
    • >それ以上に生徒が触れる場所に校務用のPC
      >を置いておいたことが、一番駄目駄目だと思う。

      記事では教師・生徒の共用パソコンから校務用サーバに入れたとあるよ

      親コメント
      • by Lpenguin (19629) on 2005年06月04日 18時48分 (#746099) 日記

        生徒も使うパソコンから校務用サーバに接続できたこと自体が問題なんだと思いますよ。

        関係ない人間にはまず、物理的、論理的に触れることができないようにするのがセキュリティの基本だと思うのだけれど…
        ということですから。

        親コメント
  • 本気か?、北海道新聞よ (スコア:3, すばらしい洞察)

    by NAT33 (17123) on 2005年06月04日 18時13分 (#746069)
    >北海道新聞では、それに続けて『「不正アクセスが重大な違法行為という生徒の認識が欠けていたことは残念」と話している。』だそうで。

    本気か?と思わず聞きたくなる意見ですな、これ。外部からの部外者の侵入じゃあるまいし、内部の人間が管理者に意見することもやるなってか?

    学校組織上、実証もせずにこの学生が意見したとして、はたして聞き入れてもらえたのか?、そこも考慮しないと正しくないんじゃないですかねぇ。教師が生徒の意見を無条件に聞くとも思えんし。

    #この生徒、処分されてないといいんですが。
    • by Technobose (6861) on 2005年06月04日 18時20分 (#746071) 日記
      この生徒のやったことは不正アクセスですよ。
      正規の権限がなく、他人のIDを用いてアクセスしているわけですから。それに成績管理の資料は本来生徒が見ていいような書類ではないです。
      基本的に以前不正アクセスで捕まった大学の先生と同じような問題かと・・・。

      親コメント
      • by NAT33 (17123) on 2005年06月04日 18時33分 (#746082)
        不正ねぇ。たしかに取りだしたデータを校外に晒したうえで、教頭に提示したたら、そうかもしれないが。今回は内部の人間が実証したうえで、管理者に提示しただけと思うんですが。

        にしても、セキュリティの問題とはいえ、実証しないと受け入れてもらうのは難しいでしょうし(特に相手が非技術者だとね)、そこが難しいところでしょうね。ましてや、自分が生徒、相手が教師だと、まともに証拠もなしに話を聞く教師がいるのやら。

        実証すらやるなとなると、そりゃ洩れるまで判明しないのも無理ない罠と言いたくなるんだよね。侵入できるか?といった視点で動作テストをやってるシステムなんて、そんなに多くないですから。ましてや、セキュリティホールまで考慮するとなると。
        親コメント
      • by Anonymous Coward on 2005年06月04日 18時45分 (#746094)
        試みるだけでも"不正アクセス"には成り得ますしね。
        しかし、どの報道を見ても「漏洩」「不正アクセス」ばかりなのが残念です。
        中学生が行った事は確かに法律上は"不正アクセス"と言えるのでしょうが
        それ以上に管理側の体制の甘さが批判されるべきです。
        (ただ、中学生を称賛すべきでは無いと思います。)
        興味本位でアクセスして下さいと言わんばかりの管理の方が悪いのではないかと。
        親コメント
        • by typer (9666) on 2005年06月04日 19時54分 (#746146) 日記
          全くその通りですね。
          ここでこの中学生を褒めちゃうと調子に乗って...となるわけで。
          できれば教育委員会などか校長を罰した後で、この中学生に直接「でも君のやったことは不正アクセスなんだよ」と注意するくらいはしてほしい所。そのへん教育者なんだからきちっと対処してほしい。

          まぁ、後になって関係ない者がいってもしかたない所だか、教頭を呼びつけて目の前で実演すればよかったと思う。それなら学校側の認めた実演といえる。
          セキュリティーホールの指摘のようなものは後ろ指さされないための熟考と理性が必要なんですよね。
          親コメント
          • だから、この中学生も、管理の甘さを正直に指摘したりすると「不正アクセスをしたな」と大変な目に遭うから、そんな事はしないで、いきなりどこかの掲示板にでもアップしてやれば良かったのに。

            それとも、IPA に届け出る程でも無く、指摘すれば済むと思ったのかな。

            親コメント
      • by parsley (5772) on 2005年06月04日 19時36分 (#746131) 日記
        単純に法律に照らしてみれば不正アクセスになるでしょう。
        しかし、杜撰な管理に対する「内部告発者保護」という視点も必要なのではないでしょうか?保護者やマスコミに流したわけでもなく、学校管理の要となる教頭に事態を正しく伝達している、問題の中学生のセンスはGoodだと思ってしまう。

        # マスコミに流れたのはなぜだろう?
        --
        Copyright (c) 2001-2014 Parsley, All rights reserved.
        親コメント
    • セキュリティホールを善意から告発した(判定をどうするかは、
      疑わしきは罰せず、方式でやらざるをえないだろう)場合は
      罪に問わないことを明文化する必要があるんじゃないかな。

      他の人も書いているけれど、口で言ったところで、それまで問題が
      発生していなければ、
      「小賢しい奴がなにか五月蝿いこと言っている」
      程度の対応しかしてもらえないだろうし。(学校だしねぇ)
      もう「実際にできる」ことを実証するしかないというところまで
      思い詰めたのかもしれない。

      #その辺りの事情ももう少し知りたいのでI.D.
      善意の告発者の正当な取扱も、ソーシャルセキュリティの範疇では
      なかろうか。

      親コメント
      • by ragdu (14317) on 2005年06月04日 19時28分 (#746129)
        本件の詳細はよくわからないけど、こんな報道のされ方をすると
        セキュリティーホールを善意から告発する人がいなくなっちゃう。
        情報の世界だけでなく、実社会のさまざまな場面で見て見ぬふり
        を奨励しているようなものじゃないか。

        善意の場合は賞賛されるべきと明示が必要ですね。
        親コメント
        • by Artane. (1042) on 2005年06月04日 19時52分 (#746143) ホームページ 日記
          この問題は、「不正アクセス防止法」が提案される直前からずっとセキュリティ専門家はじめ各層から危惧されていた問題です。
          つまり、侵入するという行為自体を処罰ないしは晒し者にすることにより、萎縮効果が生じて善意の侵入者(ホワイトハッカー)によるセキュリティホールの指摘がされなくなり、クラッカー天国になる。と。
          正直、その指摘はあたりつつあるし、この問題はOffice氏事件の時にもっと真剣に討論されて、「不正アクセス防止法」の条文を変えて対処するべきだったと思いますが。

          親コメント
  • せめて (スコア:2, おもしろおかしい)

    by Anonymous Coward on 2005年06月04日 18時33分 (#746083)
    せめてパスワードを愛人の名前か何かにしていればねぇ?
  • by nezuku (25740) on 2005年06月04日 18時47分 (#746098)
    Yahooなどのポータルサイトでトピック見たとき思わず
    「スーパーハッカーキタ━━━━(゚∀゚)━━━━ッ!!」
    って思った人手を挙げてください.

  • 立命館慶祥中 (スコア:2, 参考になる)

    by Anonymous Coward on 2005年06月04日 18時55分 (#746105)
    立命館慶祥中は北海道江別市とありますが、実際は札幌市を含めて道内各地から頭の良い生徒が受験して集まってくる中学校でもあります(トップ、というわけでも無いのですが)。

    ある程度とんがった子供の比率が高そうな環境ですから、もし管理に甘いところがあれば今時の子供が相手です、突かれるべくして突かれたとも言えるのではと。というかイタズラとしては試すでしょう、校長の名前なんて。

    いきなりIPAとかに話を持って行ったら面白かったかも(この場合は担当外でしょうか)

    #塾で担当した生徒が何人か行っているのでAC
  • by Anonymous Coward on 2005年06月04日 18時56分 (#746107)
    中学校を海外の学校を含めて4校経験しましたが、4校中3校は生徒用PCから先生用ファイルにアクセス制限がかかっていませんでした。

    一校はアクセス制限がかかっていましたが、制限用ソフトのパスワードが先生の名前だということは知れ渡っていたので、ほとんど意味がありませんでした。

    #さすがにAC
    #TAになったら教育区のドメイン管理者パスワードを教えられてびっくり
  • 指導していく? (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2005年06月04日 19時04分 (#746114)
    >「学校のネットワークの管理や、私の情報管理が不十分だった。責任を痛感している。今後、情報の取り扱いなどについて厳しく指導していく

    心の中では、自分にも責任があるとはこれっぽっちも思ってないんだろうなぁ。
  • 校長のアカウント停止 (スコア:2, すばらしい洞察)

    by jerry (3156) on 2005年06月04日 21時30分 (#746188) 日記
    校長のアカウントを停止して、校長は何か困ることがあるのだろうか?
    大抵の校長は、パソコンを使う仕事なんてあんまりないと思うのだが。
    --
    ------------------------- DKjldajrweoifL+KDjaw -------------------------
  • すぐわかるようなパスワードをつけていた,というのはどう考えても基準以下なので,管理責任を問われるべきですね.しかし,どうも最近は管理する側の甘さのせいでセキュリティが危険にさらされることがほとんどだと思う.
    セキュリティの何らかの評価基準をどこかが作るべきだと思うが,ないのかな?
    基準以下のセキュリティなら,管理者も責任を追求されるとか.
  • by yanagi (6075) on 2005年06月04日 18時38分 (#746086) ホームページ 日記
    この前の事件を彷彿させますが、公表されたデータの
    中に個人情報はなかったのでしょうかね。

    どちらにせよ未成年による犯罪1件増。
    --
    やなぎ
    字面じゃなく論旨を読もう。モデレートはそれからだ
  • by unno (6526) on 2005年06月04日 18時41分 (#746091) ホームページ 日記
    >データを印刷して教頭に提示し、「管理が甘い」と指摘

    システム管理者に直接言わないのは、この子供、怖い事しますね。

    「システム管理者の先生や、校長に直接言ったら、もみ消されるかもしれない。
    担任はムカツクし話したくない。
    あっ!校長と仲が悪い教頭に言ったら、面白いことになるかも!」

    #システム担当の先生にこっそり教えてね・・・
    --
    <ナイスな返事をいただいた方を、スラドモに指定する方針でいこうかと…恐縮ですが>
  • by messo (7339) on 2005年06月04日 19時03分 (#746112) ホームページ 日記
    学校内のネットワークは普通外部の業者が構築して納入
    あとは簡単な使い方を押して終わりでしょ

    そんな状態で校長のアカウントでは入れたって言っても
    対策としてパスワードをこまめに変えるしかないでしょうね。
    たぶん、官庁関連も同様だと思います。
    結局、本当にパソコンを使って情報の漏洩を防ぐなら
    コンピュータを使える人材(資格保持者)を教員・公務員に含めるべきでしょう.

    じゃないと何がヤバくて何が何が安全かすらわからないと思いますよ

    #だいたい役所関連って素人の集まりなんだからさそこを叩いても意味ないと思うが
  • by Anonymous Coward on 2005年06月04日 19時03分 (#746113)
    自分の学校では教務PCのMOが、nonPasswordで学内ネットワークに共有されていました
    先生、生徒の住所等各種個人情報、テストの点数、成績表の評価が丸見えでしたよ

    報告するとケチ付けられると思ったんでしませんでしたが
    • 1.デスクトップに、ユーザ名とパスワードが書かれたファイルが置いてありました。
      2.管理ソフトの使用ではパスワードを聞かれるものの、データベースがMS-ACCESSだったので、パスワードなしで見ることが出来ました。
      3.成績等を改竄することも可能でしたが、1学期の成績しか入っていませんでした。(見たのは、卒業間近の3学期末。)
      親コメント
  • 自分の場合 (スコア:1, 余計なもの)

    by Anonymous Coward on 2005年06月04日 19時15分 (#746120)
    小学生の頃に、Winkeeperというソフトでロックされてる機能を、管理業者の書類からパスワードをぶっこ抜いて解除した経験があります。
    また、リモートデスクトップで学校のサーバにリモートアクセスしてみたり。
    その他に、SkyMenuというソフトで管理されてるクライアントを、コンソールを弄って全クライアントを遠隔操作などなど・・・。

    どこの学校もセキュリティが甘いものです。
    ちなみに、その際のパスワードは"password"でした。
  •  何をしてもいいのか、実社会で何をしたらいけないのかを学ぶ場所なのだから、これを機会に教えてあげればいいでしょう。
typodupeerror

にわかな奴ほど語りたがる -- あるハッカー

読み込み中...