佐賀県の学校教育ネットワークに不正アクセス

B-CAS 不正プログラムの件で逮捕されていた佐賀県の17歳の少年が、佐賀県の学校教育ネットワークにも不正アクセスを行って成績などの情報を盗み出していたことがニュースになっていたのでメモ。佐賀県の学校教育ネットワークというのは「 SEI-Net 」というもののようです。県のウェブを確認してみると「佐賀県：学校教育ネットワークに係る不正アクセス被害に関する相談窓口を設置しています」というお知らせが出ています。

こういうシステムは IP 縛りとかになっていて、外部からアクセスは物理的に遮断されているのでは？と思っていろいろ調べてみると、確かに教員用のアカウントは校内ネットワークのみに縛られていたことが分かります。
不正アクセス：「最先端の佐賀県システム破られるとは」 - 毎日新聞

教職員が成績や住所などの個人情報にアクセスするには、校内ネットワークに接続したうえでＩＤとパスワードを入力する必要がある。児童生徒はＩＤとパスワードを入力すれば、校外からでもネットに接続して、自分のテスト結果や電子教材などは閲覧できるという。

じゃあどうやって侵入したのかなと思ったら無線 LAN だったようです。そもそもこういうシステムに無線を組み込むのがよろしくないように思いますが、そのあたりを突いた少年の方が一枚上手だったというところですかね。
ニュース - 佐賀県の学校システムに不正アクセス、成績・生徒指導含む15万ファイル漏洩：ITpro

漏洩被害を受けたのは県立学校の校内LAN上にある「校務用サーバー」（4校）、「学習用サーバー」（6校）と、県立学校で共用するクラウド型の教育情報システム「SEI-Net（セイネット）」（7校）のデータである。

不正アクセスの具体的は手口はまだ判明していない。ただ、被疑者は無線LANで学校内やその近隣からアクセスできる校内LANに直接接続してデータを不正にコピーした可能性があるという。