パスワードを忘れた? アカウント作成
791717 story
教育

昨今の学校のセキュリティ事情 114

ストーリー by reo
女子高生の意味ではありません 部門より

Sato_at_lilo 曰く、

学校で利用されている情報システムのセキュリティが実は穴だらけだったというブログ記事がはてなブックマークでちょっと話題に上っていた (toriimiyukki の日記はてなブックマークのページより) 。

4 つの記事から構成されたこの事例報告は、特権があるわけでも内部情報にアクセスできる立場でもないらしい生徒による解析によって、

  • 弱いパスワードのテストユーザ (管理者権限あり) の存在を発見。
  • 学校内 Web システムの SQL インジェクション脆弱性、およびそれ以前の脆弱性を発見。
  • Web サーバの不適切な設定と、Web 資源に対するファイルアクセスの不適切な設定を発見。
  • MySQL の root パスワードが生で記載されているファイルを発見。
  • 閉じておく事が望ましいポートが開け放たれている事を発見、上記と併せて MySQL の全レコード見放題である事を発見。

という結果になったことが報告されている。そして正直に本件を学校に連絡したブログ主には、懲戒対象になるというオチが待っていた。

学校側の対処方法の筋の悪さについては言うまでもないが、報告者の行為に不正アクセス行為が含まれているのも確か (co3k.org の記事) 。とはいえこの問題のある学校が小学校なのか中学校なのか高校なのかは分からないが、もし自分がこの 2011 年に小中高校生だったら確実に同じように法律の遵守とか phony と切り捨て嬉々として穴の存在を晒したであろう事が想像に難くないので、僕には「法律を遵守しろよ JK」とは言えない。学校は、報告者は、そして周囲の人々はどうするのが良かったのだろうか。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by elderwand (34630) on 2011年09月16日 14時17分 (#2020621) 日記

    モンスターペアレントを演じてもらう。
    「うちの子が正しいことを指摘したら、謹慎ですか?」
    「あなたではわかりません。教育長を出しなさい。教育委員会には情報関係の担当者を置いていないのですか?」
    。。。くらいしか、特効薬を思いつかない。。。
    。。。いや、まじで担当者がいないところもあるだろうな。。。

  • 謹慎か・・・
    こういうタチの人間に10日も暇な時間与えて良いことなんて欠片もないと思うんだが。

    IT音痴の教諭に一通りPCが使えるようになるまで教える、とかいう罰の方が何十倍も堪えると思うんだが。
  • by iwakuralain (33086) on 2011年09月16日 12時15分 (#2020528)

    こういうので正しい作法があるのかはちょっとわからないけど、この場合はどうするのがベターだったんだろうか。

    # 教育委員会とかにタレこむとかしか思いつかないけど、ちゃんと対応してくれるというイメージがあまり無い。

    • by Anonymous Coward on 2011年09月16日 14時16分 (#2020619)

      何かをやってからの事後通達は許すわけにいかない(それやると、どんな犯罪でも危険性の確認の為と後で言えばOKになる)から、
      最低限、事前に言葉にするというのが前提では?
      そもそも自身に身近だから信じている様ですが、blogで語られている事が真実かどうかと言うのも証明する手立ては無い。
      最悪、「特定の生徒の情報を得ようとしたが、バレたので急遽セキュリティの確認をした事にして誤魔化した」という可能性も否定は出来ない。

      親コメント
      • by Tothwing (28827) on 2011年09月16日 14時39分 (#2020635)

        そもそも自身に身近だから信じている様ですが、blogで語られている事が真実かどうかと言うのも証明する手立ては無い。
        最悪、「特定の生徒の情報を得ようとしたが、バレたので急遽セキュリティの確認をした事にして誤魔化した」という可能性も否定は出来ない。

        その可能性は否定できませんね
        と言っても、学校側からのコメントが発表されないことにはどうにもならないですが
        謹慎処分が必要なほどの事態だと学校が判断したのなら、関係者(他の生徒やその父兄)相手には経緯や個人情報などの漏洩の有無、今後の対策などを文書で報告する必要があるんじゃないかと思います。

        そのような文書が回ってきた誰かが改めてタレコんでくれたなら、もう少し建設的な議論が出来るんじゃないかな
        #もちろん、そのときは学校名などの具体的すぎる情報は伏せて

        親コメント
    • by flutist (16098) on 2011年09月16日 13時34分 (#2020581)

      どうするのがベターか、普通に判断がつくのではないのか?と思います。

      学校の建物などに脆弱性(壁が壊れかかってるとか、校庭に陥没があるとか)を見つけたら、生徒や先生が被害に遭わないよう、先生に連絡するはずです。セキュリティ的なたとえなら、ドアの鍵が壊れてて泥棒が入り放題になってる、とかかな。

      親コメント
      • by masakun (31656) on 2011年09月16日 13時42分 (#2020596) 日記

        きっとそういうつもりでメールでお知らせしたのでしょうが、学校側の反応 [hatena.ne.jp]は

        しかし、学校側として一切「ありがとう」という言葉は使わず、

        今後一切脆弱性を突くなという感じのスタンスなんです。

        「うちの学校はプライバシーマークも取得しているのでこういうことされては困るのです」

        として自宅謹慎を受ける羽目になったので、ブログ主は怒っていると。

        記事のコメント欄にもありましたが、JPCERT コーディネーションセンター [jpcert.or.jp]に通報というのが順当ではないかと思います。ただ不正アクセスはどういう扱いになるのか知りませんが、気持ちが収まらなかったら通報を経験してみるのは悪くないかも。

        親コメント
        • by Namany (19002) on 2011年09月16日 14時03分 (#2020609) 日記

          JPCERT コーディネーションセンター (JPCERT/CC) は、インターネットを介して発生する侵入やサービス妨害などのコンピュータセキュリティインシデント (以下、インシデント) について、日本国内のサイトに関する報告の受け付け、対応の支援、発生状況の把握、手口の分析、再発防止のための対策の検討や助言などを、技術的な立場から行なっています。

          とあるのですが、今回のアタックって校内ネットワーク側からですよね?
          管轄外じゃないですか?

          親コメント
      • by kousokubus (37099) on 2011年09月16日 16時52分 (#2020713)

        jbeef先生に相談すべきだったんだろうな、と。
        結構前から脆弱性だの何だのは、明らかに穴が開いてても試したらマズイとか、迂闊にブログに書いたら訴えられかねないとか扱いが難しい問題になってます。

        大人であっても普通に考えて行動すると「見なかったことにする」が一番コストがかからない現状で、何かしようと思う志のある小中高生は、専門家に頼って良いんじゃないかなあ。
         # あんまり迂闊なことを書いて相談が殺到してしまうのもアレですが、本人の将来を考えると、現状適切な窓口が存在しない気がする……

        親コメント
      • by s-kei (16661) on 2011年09月16日 14時01分 (#2020606)

        >学校の建物などに脆弱性(壁が壊れかかってるとか、校庭に陥没があるとか)を見つけたら、生徒や先生が被害に遭わないよう、先生に連絡するはず

        同意します。むしろ、タレコミに対して金一封(図書カードでもええか)を用意していても良いのでは。

        そうしないと、たぶん…
        「え、通報したら怒られるの?んじゃ、こっそり…。あ、△△先生、キャバ嬢とメールしてる。」
        なんてことに。

        親コメント
    • by Anonymous Coward

      一番マシなのは理解のある化学教諭とかに流して動いてもらうのがいいかな。
      次点は理解のある保護者経由。

      教育委員会にたれ込むとか理解のない普通の教師に言うってのは、どうしてもろくでもない結末しか思いつかない…。

      …とてもじゃないけどそう言う立ち回りを児童生徒に求めるのは厳しいよな…。

    • by Anonymous Coward

      「パソコン部|愛好会」を組織して、顧問の先生の承認のもとでハッキングに励むとか
      もっともその前に、先生を陶冶する必要がありそうだけど

      # 文化祭で学校システムの脆弱性を祭り上げ、なんて無理だろうな

    • by Anonymous Coward

      少なくともお試しで実攻撃はしない方が良いと思うよ。うん。

      #まるで学校に連絡しただけっぽく書いているのは何故なんだろ。
      #タレコミ人もそれはアウトと思ったのかな。

    • by Anonymous Coward

      サーバーごとシステムをシャットダウン

  • 普通の公立学校では、一般の教員(というと語弊があるが)が、校内ネットワークの
    管理をしているのが当たり前です。

    確か島根県だとかは、外部に委託するか、専門家を雇用し、
    ネットワークの維持管理をしているようですが、そうでない他道府県の場合は、
    セキュリティホールが存在しても、何ら不思議は無いですね。

    なので個人的見解では、ブログ主を懲戒にするのはおかしいなと。
    ブログに晒す前に、先生に報告したほうが良かったねとやんわりとたしなめる程度で
    よかったんじゃないでしょうか。
    かくいう自分も、つい先日、口あんぐりな件を見つけたので、県に報告するかどうか思案中なのですが。
    #非常に特殊な条件なので、この条件を満たすのは難しいという側面と、県のセキュリティポリシーに反してるwww
    #という側面を持つので。

    --
    ---------+---------+----------+
    年をとるのは素敵なことです。
  • by JULY (38066) on 2011年09月16日 13時15分 (#2020558)

    以前、田舎の中学校にパソコンやらサーバやらを納めた事があるのですが、そもそも、それを誰が管理し続けるのか、という問題は大きいと思います。

    私が携わった場合だと、Active Directory を構築していたのですが、それを運用するには当然、それなりに知識が必要になります。しかし、実際には「先生の中でパソコンに詳しい人が担当」するだけで、何か特別に勉強しているわけでもないし、最低限、授業で使うのに困らない程度の操作を覚えてもらう、というのが関の山です。

    しかも、私立ならともかくも、公立小中学校の先生は転勤族です。たまたま、その時の先生の中で一番詳しい人が本当に熱心で詳しい人だったとしても、異動で別の人が来た時に引き継げる保証はありません。

    山口県宇部市での取り組み [zdnet.com]のように、いくつもの小中学校をまとめて自治体側で集中管理するような仕組にするか、管理を現場に任せるなら専門の事務員を置くか、運用サポートを請け負う業者と契約する、といった事が必要で、現場の先生にそれを期待するのは酷な気がします、

    余談:
    自分の田舎に戻って、そういった運用サポートの仕事で食っていけないか、と思う事がある...

    • > 余談:
      > 自分の田舎に戻って、そういった運用サポートの仕事で食っていけないか、と思う事がある...
      同じく….

      親コメント
    • 私の妻は小学校の教諭なんですが、
      その状況をいくつか見た限りでは、見事に「管理者不在」でしたね。

      教師用PCは、一般ユーザーのアカウント情報はあるけど、Administratorのパスワードは誰も知らない、とかそんなレベル。
      時計がものすごく狂ってるんですが一般ユーザーでは時計をいじれないので誰も直せない、とか。
      #今気づいたけど、BIOSメニューで時間を修正すれば簡単に対応できたか…

      ある学校では、ファイルサーバのたぐいがなく、データは個々のPCに保存してただけだった。「○○のデータは△△に入ってるから」とかいって、あるPCには利用待ちの行列が出来ていて、その隣に誰も使ってないPCがある、とかそんなのが当たり前だったりとか。
      まあ、セキュリティ的にはネットワーク経由で何かされる心配がないので安心かも…

      #でも「パソコンが調子悪いから見て~。業者に頼むといつになるかわからんし」とか言われて、土日に学校に行って部外者である私がいじってたりする、というのはセキュリティ的に大問題だと思う…

      #ACにしようと思ったけどまあ、IDでいいや。

      親コメント
  • by Anonymous Coward on 2011年09月16日 13時21分 (#2020563)

    電子的なセキュリティ脆弱性だとどうしてこうも自分に正当性があると思うのかね。

    家や金庫に鍵がかかってなかった、だれでもピッキングできる糞施錠だったと言って
    勝手に侵入して中身隅々まで舐めまわしてあなたのとこセキュリティ甘々ですよ、
    甚大な被害にあう前に分かって良かったね、とか言って感謝されると思ってんの?

    どうするもこうするも厳罰与えて自分がしたことに対して罪の意識を植えさせることしかできないでしょ。

    • 他人の物なら別にどーでもいいけど、自分の物が入ってて、しかも「安全ですよ!」ってマークまで入ってる。

      ガキのいたずら程度で開けられる扉なのに。

      そこで、ガキが興味本位で開けました。しかも、ちゃんとどうやって開けたのか、開けられないようにするには、どうするべきなのかを伝え、改善しようと呼びかけまでして。

      この状況で、一切礼も無いってのはどーかと思うけど。
      いたずらはダメだけど、みんなの役にたった。むしろそこを褒めて伸ばす方がいいと思わないか?ダメなことはダメとちゃんと伝えた上で。本人が全く納得いかない対応を学校側がしたら、多分本人はダメなことをしたなんてことの何倍も、学校がクソだ。大人はクソだ。なんて記憶が残るんじゃないか。

      親コメント
      • by Anonymous Coward on 2011年09月16日 14時34分 (#2020631)

        現実に学校はクソだし大人もクソなのですから、それを正しく学習できるよう生徒を導くのが教職員の責務でしょう。

        親コメント
    • by Anonymous Coward on 2011年09月16日 14時43分 (#2020638)

      正当性があるかどうかはともかく、ツッコミどころはそこじゃないと思うな。
      勿論、悪いことは悪い。
      それを叱るのは当然。あたりまえのことでしょう。

      どうするもこうするも厳罰与えて自分がしたことに対して罪の意識を植えさせることしかできないでしょ。

      だからと言って、天下の往来に他人の貴重品の入った金庫を施錠もせずに放り出した人を放置するのは良いことではないわけです。
      じゃぁ、どうすればいいのか? ってことでしょう。

      現実社会においては、何か大切なものを預かるような仕事がある場合には、法律か何かで安全基準が設けられたり、通報があれば官憲が駆けつけたり、或いは資本主義的な事業であれば不買が広がるなどして長期的に淘汰されたり、まぁ、色々な仕組みでバランスが取れているわけです。
      しかし、現物の存在しない電子データにおいては、満たすべき客観的な安全基準もなく、駆けつけてくれる官憲もないわけで、そこをどう改善していくべきか、という事こそツッコミの対象になるべきだと私は思いますね。

      以下蛇足…かな。
      なお、不備を指摘した側が不満を言うべきかどうかはさておいて、不備を指摘された側が「ボクは悪くないもん」「指摘をするほうが悪いんだもん」と居直って通じるのは、子供の世界だけでしょう。
      大人ならば「そんなことしちゃダメじゃないか」と言うことに加えて「ごめんなさい。指摘してくれてありがとう」と言って自らを改めてしかるべきだと思いますよ。

      # ま、この人間社会に「大人」がいるかどうかは知りませんけどね。
      # そういえば、この間の「惑星をいっぱい見つけたよ」のストーリーにもあったね。
      # どこの星にも(この地球にですら)知的生命体など居ないって(笑)。

      親コメント
    • by Anonymous Coward

      その金庫が、家の中じゃなくて天下の往来に放置されてて、かつその金庫の中に自分の預金通帳とか入ってるのかわかってる状態だったら、とりあえず扉引っ張って施錠されてるか確かめるぐらいはするなあ。

      • by Anonymous Coward

        それって自分を守るための行為でしょ?で、感謝されるべきって思う?

        日記見てても中二病全開の愉快犯としか見えないけど。
        # リアル中学生ならごめんない。
        こういった行為に正当性を与えるような賛美を行う馬鹿な大人がいるから罪の意識が無いんだよ。
        悪いことは悪いときちんと教えるのが大人の責務。

        • > こういった行為に正当性を与えるような賛美を行う馬鹿な大人がいるから罪の意識が無いんだよ。
          > 悪いことは悪いときちんと教えるのが大人の責務。

          いや、最初の発言は「ありがとう」で良いのでは、でっ「でもね、本当はXXXとするべきなんだ」と。
          教えるべきは見つけたときの対応方法であることが教育期間の姿ではないかな。

          親コメント
    • by Anonymous Coward
      女子学生に体罰与えたい先生が、わざとやってるのかもよ!
  • すごく違和感があるのは、

    「キミの行動で人一人がクビになるんだから・・・なので反省してください」

    って所ですね。
    不正アクセス禁止法に抵触するから、そういう事はやめましょうね。ならわかるんだけど、クビになるから反省しろっていうのは臭い物には蓋をして見なかった事にしろと言ってるような、すごい違和感を感じます。

    --
    安易なAC発言反対運動中
    • ある意味では「大人になるための教育」ってところなんでしょうけどね(棒

      企業に置き換えると「内部告発したら担当者が首になってしまうので余計なことは言わないで下さい」
      なんてことを責任者レベルで言っているわけだからひどいこと言ってるな。

      *こういう人間に限って、よその内部告発握りつぶしに対して批判的なのかな、とか言ってみる。
      --
      (ぶつぶつ…) http://twitter.com/yumechika
      親コメント
  • by jsi (25633) on 2011年09月17日 8時15分 (#2020982)

    私が思うに、学校の先生ならば、「安全であるべき」と思う彼の志向を、職業技能として高めてあげる方向で絶対的に動くべきで、単に自宅謹慎として行為の社会的意味を教えなかった学校側の教育態度には問題がある。この原因は、学校の先生が情報リテラシーを持っておらず、さらに、世間ズレしているからであるといえる。たとえば、ほとんどの場合「ハッキングやパスワードの悪用は禁止です」という一言のレベルでしか教えられないのが現状だと思う。(可能性は低いが、ちゃんと伝えている可能性が無いともいえないけど)伝わってないのなら教えてないのも同じ。

    • ユーザー名パスワードを得るところまではグレーゾーンだが、ユーザー名パスワードを使ってログオンして情報を得たら明確な犯罪であること。場合によっては、故意性の立証により、PHPのファイルを置くこと自体未遂罪に問われかねないこと。場合によっては刑務所に入る可能性のある行為だったこと。刑務所に入るとPCが使えなくなること。
    • (たとえ犯罪領域にふみこんでなくても)世間一般では情報リテラシーが低いことがあり違法でない行為を行なったとしても問題のある行為として認識されるリスクがあること。そうした場合、自己防衛できるだけの技量がない場合社会的信頼(仕事)を失う可能性があること。すなわち、行為は同じであっても「自己満足」ととられるか「正義」とられるかでだいぶん違う運命となる可能性があること。
    • それとは別に、表の世界での(正義での)、コンピュータシステムの安全を高める仕事は、(年収という意味でも)価値のある仕事であること。
    • 世間一般で理解されてはいないが、上の世界では、若い人がセキュリティの技量を高めることが重要と考えていること。(例:セキュリティキャンプ)
    • 法律とは別に、欠陥などを指摘された場合どのように感じるか考えなくてはならないこと。感情を無視する場合、感情を無視してでも指摘すべき事項なのかどうか、天秤にかける必要があること。人が知られたくない情報が開示される場合どのように感じるか考える必要があること。

    彼のブログのエントリーだけでは、先生がどこまで伝えて、どこまで伝えなかったのか、判断がつかないですが、将来的には、jbeef先生みたいに、法律に違反すること、しないことを明確にわかった上で、自己防衛する技術を身に付けて、社会にでてがんばって欲しいものですね。

  • by Namany (19002) on 2011年09月16日 12時06分 (#2020520) 日記

    「セキュリティが実は穴だらけ」ってところですか?

  • by Sukoya (33993) on 2011年09月16日 12時14分 (#2020527) 日記

    学校の案件は良くわからないでありますが……
    入札にウイルス対策以上のセキュリティ対策って必要なんでありますか?

  • by hazi (40861) on 2011年09月16日 12時42分 (#2020544)
    MSの様に「よし、君を我が校のセキュリティー担当に命ずる!」って、抱え込んじゃえばいいのに。 多分この学校が適切なセキュリティーを外部に任せることなんて出来ないよ。 これを機に悪質なハッカーになる可能性が。とか思っているのなら、教育者として終わってると思う。
  • by Tothwing (28827) on 2011年09月16日 13時00分 (#2020547)

    似たような話があったと思って探してみたら中学生の事例 [srad.jp]がありました。
    こんなに昔のストーリーではなかったような気がしたのですが……、他にもあるのかも知れません

  • by ddc (14170) on 2011年09月16日 13時39分 (#2020589) 日記

    プライバシーマークの無意味さなんて今更の話ですが、
    「うちの学校はプライバシーマークも取得しているのでこういうことされては困るのです」
    なんて反応を見るとやはりがっくりくるなぁ。

  • by Anonymous Coward on 2011年09月16日 14時52分 (#2020642)

    >実際そういうコード書く人はクビにされていいですよ。金の無駄ですよ。
    禿同。
    SQLインジェクション対策すらしてないパッケージって。

    金をドブに捨てた学校のリストがありますね。
    http://www.skymenu.net/product/report/ [skymenu.net]

    まじめな話、これに乗ってる学校は今すぐ日記どおりのテストをしたほうがいいと思う。

  • by Anonymous Coward on 2011年09月16日 12時26分 (#2020534)

    机の引き出しに鍵を掛けるべきとかになるんですかね。

    私が知らんだけでもうなってるのかも知れんけど。

  • by Anonymous Coward on 2011年09月16日 13時24分 (#2020568)

    権限がなくとも強制的に落としてTweet
    管理者によって警察沙汰になるなりかけるが
    代表がTweet見て適切な処置だったと許容

    # ○○○○巫女属性は必須でしょうか?

  • by reininn (35924) on 2011年09月16日 13時37分 (#2020586)
    学校で何も学んで来なかったやつが、この前、
    CD に root のパスワードが、もろにハードコーディングされた
    Java のソースを焼いて配ってしまった。
typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...