ウォードライビングで無線LANに接続か

　報道によれば、この少年は高校には通っておらず、校舎の外から校内の無線LANアクセスポイントに接続し、不正アクセスを行っていたという。こうした行為はウォードライビングと呼ばれ、外から接続可能なアクセスポイントを探してまわるハッキング行為は古くから存在する。この事件でも、校外から接続可能な場所を探し当てたのだろう。無線LANアクセスポイントの接続には、少年の友人である高校生のアカウントを利用していた。

　その後、教職員のID情報を盗み出し（アクセス可能な場所に保存されていたという報道もある）、校務用のサーバーやSEI-Netと呼ばれる教育情報システムにアクセスを繰り返した。盗み出された個人情報は数万件ともいわれている。その中には生徒の成績、指導や相談内容など詳細な個人情報、プライバシー情報も含まれていたといい、生徒や保護者への衝撃も大きかった。

内部からの攻撃に弱いイントラネット

　そもそも事件の発覚も、学校や教育委員会などシステムやネットワークを管理する側ではなく、警察からの問い合わせからだったという。B-CASカードの偽造という別件で捜査を受けていた少年から押収したパソコンなどを解析した中で、高校の成績表などの情報を発見し、発覚したものだ。

　一般に、各自治体に設置されている公立学校向け教育ネットワークは、広域LANのような設定でインターネットに直接つながっていない構成をとる。外部からの攻撃には一定の耐性があるといえるのだが、内部からの攻撃に弱い傾向がある。

　これは、企業ネットワークでもよくある問題だ。内部の運用や制限を厳しくすると、どうしても可用性が落ち、業務効率が悪くなる。現場からも不評を買いがちなので、なかなかなくならない問題だ。外部攻撃は対策するが、内部攻撃を過小評価して、内部のアクセス制御や運用ルールがずさんなことが現実としてある。企業をねらった標的型攻撃でも、メールを開いてマルウェアを実行してしまったPCから、サーバーへの侵入を許してしまうのは典型的なパターンだ。

【次ページ】無線LANは基本的なセキュリティ対策だけではダメ