佐賀県で不正アクセス 生徒の個人情報流出で17歳逮捕

佐賀県教委の教育情報システムに不正アクセスしたとして、6月27日、佐賀市の17歳の少年が逮捕された。警視庁の調べによると、今年1月、同県教委が導入している学校管理業務を一元化している教育情報システム「SEI-Net」や県立の学校が導入している校内のネットワークシステムに3回にわたって不正なアクセスが行われた疑いが持たれている。

被疑者の自宅パソコンからは、同県の県立学校等に関わる約21万件のファイルが発見されている。教職員や生徒、保護者の住所・氏名・電話番号や成績関連書類などの情報が大量に含まれていた。
「SEI-Net」は、学校で必要な「学習管理」「教材管理」「校務管理」の3つの機能を一元化してクラウドで提供するシステム。同システムを導入している県立7校を含めた計9校が、不正アクセスで被害を受けた。

また校内ネットワークシステムに関しては、校内無線LANの電波を、被疑者が高校近くまで行って受信し、不正にアクセスした。

「SEI-Net」は、少なくとも過去3年間は1度も内部監査が行われていないといい、今後も行われる予定がなかった。

調べによれば、少年は、専門書を読み込み、独学でプログラミング言語やハッキング技術を習得した。不正アクセスで得た情報は、「情報収集会議」と称し、インターネットを通じて仲間とファイル共有し、仲間の間で自慢していたとみられている。

同教委の古谷宏教育長は佐賀県庁のホームページで、関係者や県民に向け、「大変申し訳なく思っている」と述べ、被害者からの相談に、窓口を設置して対応するとした。

また文科省の担当者は「情報セキュリティ確保の通知を何度も出してお願いしていた中での事案に、非常に残念に思っている。改めて対策をしっかりお願いしたい」と話している。

文科省の今後の対応として、「教育の情報化が進む中で、文科省でも有識者による会合が開かれ、議論されている。安全性の確保に向けて呼びかけを行うとともに、議論で出てきた有効な手段は取り入れていきたい」と述べ、中長期的に対応していく意向を示した。

馳浩文科相も6月28日の閣議後会見で「深刻に捉えている。セキュリティの不備だったと言わざるをえない」と発言している。

【不正アクセスによる被害状況】佐賀県側に、警視庁から学校教育ネットワークに対する不正アクセスに関する情報提供があったのは、今年2月15日だった。県教委はこれに基づき、状況把握に努めた。
明らかになった被害状況は――。
■校内LAN関係の被害7校
▽校務用サーバの被害=4校でファイル数約7千件。ファイルの中身は、教職員・生徒・保護者の住所・氏名・電話番号、ID、パスワード、成績関連書類、生徒指導関連書類。
▽学習用サーバの被害=6校でファイル数約14万6千件。中身は主に教材関係と生徒氏名。
■SEI-Netの被害7校
中身は教職員のID、氏名、メールアドレス、生徒のID、氏名。
■被害を受けた県立校とサーバの種類
佐賀東高校(a)・佐賀北高校(a,b,c)・致遠館高校(a,b,c)・致遠館中学校(a,b)・小城高校(b,c)・佐賀商業高校(b,c)・武雄高校(b,c)・佐賀西高校(c)・佐賀工業高校(c)――の県立中高・工業で、実数9校。
(a)は校務用サーバ、(b)は学習用サーバ、(c)はSEI-Net。
■相談窓口
被害のあった県立9校と県教委に、それぞれ相談窓口が設けられた。
■対策など
セキュリティ対策の強化と情報モラル教育などによる意識向上を図る。今のところ、二次被害は確認されていない。

一部加筆(6月29日)
関連記事