昨今の学校のセキュリティ事情 114
ストーリー by reo
女子高生の意味ではありません 部門より
女子高生の意味ではありません 部門より
Sato_at_lilo 曰く、
学校で利用されている情報システムのセキュリティが実は穴だらけだったというブログ記事がはてなブックマークでちょっと話題に上っていた (toriimiyukki の日記、はてなブックマークのページより) 。
4 つの記事から構成されたこの事例報告は、特権があるわけでも内部情報にアクセスできる立場でもないらしい生徒による解析によって、
- 弱いパスワードのテストユーザ (管理者権限あり) の存在を発見。
- 学校内 Web システムの SQL インジェクション脆弱性、およびそれ以前の脆弱性を発見。
- Web サーバの不適切な設定と、Web 資源に対するファイルアクセスの不適切な設定を発見。
- MySQL の root パスワードが生で記載されているファイルを発見。
- 閉じておく事が望ましいポートが開け放たれている事を発見、上記と併せて MySQL の全レコード見放題である事を発見。
という結果になったことが報告されている。そして正直に本件を学校に連絡したブログ主には、懲戒対象になるというオチが待っていた。
学校側の対処方法の筋の悪さについては言うまでもないが、報告者の行為に不正アクセス行為が含まれているのも確か (co3k.org の記事) 。とはいえこの問題のある学校が小学校なのか中学校なのか高校なのかは分からないが、もし自分がこの 2011 年に小中高校生だったら確実に同じように法律の遵守とか phony と切り捨て嬉々として穴の存在を晒したであろう事が想像に難くないので、僕には「法律を遵守しろよ JK」とは言えない。学校は、報告者は、そして周囲の人々はどうするのが良かったのだろうか。
ママに頼んで (スコア:3)
モンスターペアレントを演じてもらう。
「うちの子が正しいことを指摘したら、謹慎ですか?」
「あなたではわかりません。教育長を出しなさい。教育委員会には情報関係の担当者を置いていないのですか?」
。。。くらいしか、特効薬を思いつかない。。。
。。。いや、まじで担当者がいないところもあるだろうな。。。
この問題のある学校が小学校なのか中学校なのか高校なのか (スコア:3)
以下のストーリーを読めば想像はつくかな、と。
ドワンゴ、ニコ生技術開発部の15歳(高1)をアルバイトとして採用 [srad.jp]
10日の間になにやるやら (スコア:3)
こういうタチの人間に10日も暇な時間与えて良いことなんて欠片もないと思うんだが。
IT音痴の教諭に一通りPCが使えるようになるまで教える、とかいう罰の方が何十倍も堪えると思うんだが。
正しい作法 (スコア:2)
こういうので正しい作法があるのかはちょっとわからないけど、この場合はどうするのがベターだったんだろうか。
# 教育委員会とかにタレこむとかしか思いつかないけど、ちゃんと対応してくれるというイメージがあまり無い。
Re:正しい作法 (スコア:2, 興味深い)
何かをやってからの事後通達は許すわけにいかない(それやると、どんな犯罪でも危険性の確認の為と後で言えばOKになる)から、
最低限、事前に言葉にするというのが前提では?
そもそも自身に身近だから信じている様ですが、blogで語られている事が真実かどうかと言うのも証明する手立ては無い。
最悪、「特定の生徒の情報を得ようとしたが、バレたので急遽セキュリティの確認をした事にして誤魔化した」という可能性も否定は出来ない。
Re:正しい作法 (スコア:1)
そもそも自身に身近だから信じている様ですが、blogで語られている事が真実かどうかと言うのも証明する手立ては無い。
最悪、「特定の生徒の情報を得ようとしたが、バレたので急遽セキュリティの確認をした事にして誤魔化した」という可能性も否定は出来ない。
その可能性は否定できませんね
と言っても、学校側からのコメントが発表されないことにはどうにもならないですが
謹慎処分が必要なほどの事態だと学校が判断したのなら、関係者(他の生徒やその父兄)相手には経緯や個人情報などの漏洩の有無、今後の対策などを文書で報告する必要があるんじゃないかと思います。
そのような文書が回ってきた誰かが改めてタレコんでくれたなら、もう少し建設的な議論が出来るんじゃないかな
#もちろん、そのときは学校名などの具体的すぎる情報は伏せて
Re:正しい作法 (スコア:1)
どうするのがベターか、普通に判断がつくのではないのか?と思います。
学校の建物などに脆弱性(壁が壊れかかってるとか、校庭に陥没があるとか)を見つけたら、生徒や先生が被害に遭わないよう、先生に連絡するはずです。セキュリティ的なたとえなら、ドアの鍵が壊れてて泥棒が入り放題になってる、とかかな。
Re:正しい作法 (スコア:2)
きっとそういうつもりでメールでお知らせしたのでしょうが、学校側の反応 [hatena.ne.jp]は
として自宅謹慎を受ける羽目になったので、ブログ主は怒っていると。
記事のコメント欄にもありましたが、JPCERT コーディネーションセンター [jpcert.or.jp]に通報というのが順当ではないかと思います。ただ不正アクセスはどういう扱いになるのか知りませんが、気持ちが収まらなかったら通報を経験してみるのは悪くないかも。
モデレータは基本役立たずなの気にしてないよ
Re:正しい作法 (スコア:1)
JPCERT コーディネーションセンター (JPCERT/CC) は、インターネットを介して発生する侵入やサービス妨害などのコンピュータセキュリティインシデント (以下、インシデント) について、日本国内のサイトに関する報告の受け付け、対応の支援、発生状況の把握、手口の分析、再発防止のための対策の検討や助言などを、技術的な立場から行なっています。
とあるのですが、今回のアタックって校内ネットワーク側からですよね?
管轄外じゃないですか?
Re:正しい作法 (スコア:2)
jbeef先生に相談すべきだったんだろうな、と。
結構前から脆弱性だの何だのは、明らかに穴が開いてても試したらマズイとか、迂闊にブログに書いたら訴えられかねないとか扱いが難しい問題になってます。
大人であっても普通に考えて行動すると「見なかったことにする」が一番コストがかからない現状で、何かしようと思う志のある小中高生は、専門家に頼って良いんじゃないかなあ。
# あんまり迂闊なことを書いて相談が殺到してしまうのもアレですが、本人の将来を考えると、現状適切な窓口が存在しない気がする……
Re:正しい作法 (スコア:1)
>学校の建物などに脆弱性(壁が壊れかかってるとか、校庭に陥没があるとか)を見つけたら、生徒や先生が被害に遭わないよう、先生に連絡するはず
同意します。むしろ、タレコミに対して金一封(図書カードでもええか)を用意していても良いのでは。
そうしないと、たぶん…
「え、通報したら怒られるの?んじゃ、こっそり…。あ、△△先生、キャバ嬢とメールしてる。」
なんてことに。
Re: (スコア:0)
一番マシなのは理解のある化学教諭とかに流して動いてもらうのがいいかな。
次点は理解のある保護者経由。
教育委員会にたれ込むとか理解のない普通の教師に言うってのは、どうしてもろくでもない結末しか思いつかない…。
…とてもじゃないけどそう言う立ち回りを児童生徒に求めるのは厳しいよな…。
Re:正しい作法 (スコア:1)
Re: (スコア:0)
なぜ?技術の教諭とかでよくないですか?
Re:正しい作法 (スコア:2)
#ほんとに、化学の先生してます。
---------+---------+----------+
年をとるのは素敵なことです。
Re: (スコア:0)
「パソコン部|愛好会」を組織して、顧問の先生の承認のもとでハッキングに励むとか
もっともその前に、先生を陶冶する必要がありそうだけど
# 文化祭で学校システムの脆弱性を祭り上げ、なんて無理だろうな
Re: (スコア:0)
少なくともお試しで実攻撃はしない方が良いと思うよ。うん。
#まるで学校に連絡しただけっぽく書いているのは何故なんだろ。
#タレコミ人もそれはアウトと思ったのかな。
巫女様メソッド (スコア:0)
サーバーごとシステムをシャットダウン
学校のセキュリティは甘々 (スコア:2)
普通の公立学校では、一般の教員(というと語弊があるが)が、校内ネットワークの
管理をしているのが当たり前です。
確か島根県だとかは、外部に委託するか、専門家を雇用し、
ネットワークの維持管理をしているようですが、そうでない他道府県の場合は、
セキュリティホールが存在しても、何ら不思議は無いですね。
なので個人的見解では、ブログ主を懲戒にするのはおかしいなと。
ブログに晒す前に、先生に報告したほうが良かったねとやんわりとたしなめる程度で
よかったんじゃないでしょうか。
かくいう自分も、つい先日、口あんぐりな件を見つけたので、県に報告するかどうか思案中なのですが。
#非常に特殊な条件なので、この条件を満たすのは難しいという側面と、県のセキュリティポリシーに反してるwww
#という側面を持つので。
---------+---------+----------+
年をとるのは素敵なことです。
Re:学校のセキュリティは甘々 (スコア:2)
先生に伝言ゲームやらせても、正しく伝わる確率は低そうな気がする(想像)
マスコミに記事書かせるのと似たようなもの な気がする。
な。
管理者不在 (スコア:2)
以前、田舎の中学校にパソコンやらサーバやらを納めた事があるのですが、そもそも、それを誰が管理し続けるのか、という問題は大きいと思います。
私が携わった場合だと、Active Directory を構築していたのですが、それを運用するには当然、それなりに知識が必要になります。しかし、実際には「先生の中でパソコンに詳しい人が担当」するだけで、何か特別に勉強しているわけでもないし、最低限、授業で使うのに困らない程度の操作を覚えてもらう、というのが関の山です。
しかも、私立ならともかくも、公立小中学校の先生は転勤族です。たまたま、その時の先生の中で一番詳しい人が本当に熱心で詳しい人だったとしても、異動で別の人が来た時に引き継げる保証はありません。
山口県宇部市での取り組み [zdnet.com]のように、いくつもの小中学校をまとめて自治体側で集中管理するような仕組にするか、管理を現場に任せるなら専門の事務員を置くか、運用サポートを請け負う業者と契約する、といった事が必要で、現場の先生にそれを期待するのは酷な気がします、
余談:
自分の田舎に戻って、そういった運用サポートの仕事で食っていけないか、と思う事がある...
Re:管理者不在 (スコア:1)
> 余談:
> 自分の田舎に戻って、そういった運用サポートの仕事で食っていけないか、と思う事がある...
同じく….
Re:管理者不在 (スコア:1)
私の妻は小学校の教諭なんですが、
その状況をいくつか見た限りでは、見事に「管理者不在」でしたね。
教師用PCは、一般ユーザーのアカウント情報はあるけど、Administratorのパスワードは誰も知らない、とかそんなレベル。
時計がものすごく狂ってるんですが一般ユーザーでは時計をいじれないので誰も直せない、とか。
#今気づいたけど、BIOSメニューで時間を修正すれば簡単に対応できたか…
ある学校では、ファイルサーバのたぐいがなく、データは個々のPCに保存してただけだった。「○○のデータは△△に入ってるから」とかいって、あるPCには利用待ちの行列が出来ていて、その隣に誰も使ってないPCがある、とかそんなのが当たり前だったりとか。
まあ、セキュリティ的にはネットワーク経由で何かされる心配がないので安心かも…
#でも「パソコンが調子悪いから見て~。業者に頼むといつになるかわからんし」とか言われて、土日に学校に行って部外者である私がいじってたりする、というのはセキュリティ的に大問題だと思う…
#ACにしようと思ったけどまあ、IDでいいや。
Re:管理者不在 (スコア:1)
私も似たような経験をしましたが、管理するより部外者を排除するって事で落ち着きました。
管理出来ていないPCがごろごろしてるって気持ち悪いけど、それに気がついていないのはある意味幸せかも。
ありがとうの言葉もないって・・・ (スコア:2, すばらしい洞察)
電子的なセキュリティ脆弱性だとどうしてこうも自分に正当性があると思うのかね。
家や金庫に鍵がかかってなかった、だれでもピッキングできる糞施錠だったと言って
勝手に侵入して中身隅々まで舐めまわしてあなたのとこセキュリティ甘々ですよ、
甚大な被害にあう前に分かって良かったね、とか言って感謝されると思ってんの?
どうするもこうするも厳罰与えて自分がしたことに対して罪の意識を植えさせることしかできないでしょ。
Re:ありがとうの言葉もないって・・・ (スコア:2)
他人の物なら別にどーでもいいけど、自分の物が入ってて、しかも「安全ですよ!」ってマークまで入ってる。
ガキのいたずら程度で開けられる扉なのに。
そこで、ガキが興味本位で開けました。しかも、ちゃんとどうやって開けたのか、開けられないようにするには、どうするべきなのかを伝え、改善しようと呼びかけまでして。
この状況で、一切礼も無いってのはどーかと思うけど。
いたずらはダメだけど、みんなの役にたった。むしろそこを褒めて伸ばす方がいいと思わないか?ダメなことはダメとちゃんと伝えた上で。本人が全く納得いかない対応を学校側がしたら、多分本人はダメなことをしたなんてことの何倍も、学校がクソだ。大人はクソだ。なんて記憶が残るんじゃないか。
Re:ありがとうの言葉もないって・・・ (スコア:1)
現実に学校はクソだし大人もクソなのですから、それを正しく学習できるよう生徒を導くのが教職員の責務でしょう。
Re:ありがとうの言葉もないって・・・ (スコア:1)
何で二元論なの?
・不正アクセスで実際にデータに手をつけたのは悪
・脆弱性を発見したことは善
だと思うから
・学校は言い訳してないで脆弱性についてしっかりと対策する
・その上で不正アクセスを実行したことについてのみ叱る
でしょ?
現状の内々にしてくれ、おまえのせいで~~がクビになどと発言なんてのは全然妥当じゃない。
後者なんて教師の立場を悪用したいじめですよ。
Re:ありがとうの言葉もないって・・・ (スコア:1)
いや、犯罪認定とかどーでもいいだろ。いちいち、物壊したら器物破損で訴えられなくてよかったねーって話になるかよ。こっそり校長室に興味本位で入って特に何もしなかったのに、不正侵入で警察呼ばれるのかよ。そんな学校ねーだろ。
これだけみんなが反応してるのは、セキュリティーが甘いことを生徒が指摘したら、担当者がクビになったとか、プライバシーマークがうんたらとか、筋の通らない話を学校側がしてるからでしょ。
俺はこいつがやったのは本当にやってはいけない範囲まで行ってないし、実害は0でむしろプラスを提供してるんだから、然るべきところは叱って、学校側のミスは最低限認め、出来ればそのことに対して評価するべきだと。
# 子供だからって、ボーダーラインが分からないかもしれないから下手に認めちゃいけないとか、そう考えてるんだったら教師なんかやめちまえばいいのに。
# モンスターペアレントがいるからそうはいかないか…
Re:ありがとうの言葉もないって・・・ (スコア:1)
正当性があるかどうかはともかく、ツッコミどころはそこじゃないと思うな。
勿論、悪いことは悪い。
それを叱るのは当然。あたりまえのことでしょう。
だからと言って、天下の往来に他人の貴重品の入った金庫を施錠もせずに放り出した人を放置するのは良いことではないわけです。
じゃぁ、どうすればいいのか? ってことでしょう。
現実社会においては、何か大切なものを預かるような仕事がある場合には、法律か何かで安全基準が設けられたり、通報があれば官憲が駆けつけたり、或いは資本主義的な事業であれば不買が広がるなどして長期的に淘汰されたり、まぁ、色々な仕組みでバランスが取れているわけです。
しかし、現物の存在しない電子データにおいては、満たすべき客観的な安全基準もなく、駆けつけてくれる官憲もないわけで、そこをどう改善していくべきか、という事こそツッコミの対象になるべきだと私は思いますね。
以下蛇足…かな。
なお、不備を指摘した側が不満を言うべきかどうかはさておいて、不備を指摘された側が「ボクは悪くないもん」「指摘をするほうが悪いんだもん」と居直って通じるのは、子供の世界だけでしょう。
大人ならば「そんなことしちゃダメじゃないか」と言うことに加えて「ごめんなさい。指摘してくれてありがとう」と言って自らを改めてしかるべきだと思いますよ。
# ま、この人間社会に「大人」がいるかどうかは知りませんけどね。
# そういえば、この間の「惑星をいっぱい見つけたよ」のストーリーにもあったね。
# どこの星にも(この地球にですら)知的生命体など居ないって(笑)。
Re: (スコア:0)
その金庫が、家の中じゃなくて天下の往来に放置されてて、かつその金庫の中に自分の預金通帳とか入ってるのかわかってる状態だったら、とりあえず扉引っ張って施錠されてるか確かめるぐらいはするなあ。
Re: (スコア:0)
それって自分を守るための行為でしょ?で、感謝されるべきって思う?
日記見てても中二病全開の愉快犯としか見えないけど。
# リアル中学生ならごめんない。
こういった行為に正当性を与えるような賛美を行う馬鹿な大人がいるから罪の意識が無いんだよ。
悪いことは悪いときちんと教えるのが大人の責務。
Re:ありがとうの言葉もないって・・・ (スコア:2)
> こういった行為に正当性を与えるような賛美を行う馬鹿な大人がいるから罪の意識が無いんだよ。
> 悪いことは悪いときちんと教えるのが大人の責務。
いや、最初の発言は「ありがとう」で良いのでは、でっ「でもね、本当はXXXとするべきなんだ」と。
教えるべきは見つけたときの対応方法であることが教育期間の姿ではないかな。
Re: (スコア:0)
謹慎理由(の一部?)が気持ちわるい (スコア:2)
すごく違和感があるのは、
「キミの行動で人一人がクビになるんだから・・・なので反省してください」
って所ですね。
不正アクセス禁止法に抵触するから、そういう事はやめましょうね。ならわかるんだけど、クビになるから反省しろっていうのは臭い物には蓋をして見なかった事にしろと言ってるような、すごい違和感を感じます。
安易なAC発言反対運動中
Re:謹慎理由(の一部?)が気持ちわるい (スコア:1)
企業に置き換えると「内部告発したら担当者が首になってしまうので余計なことは言わないで下さい」
なんてことを責任者レベルで言っているわけだからひどいこと言ってるな。
*こういう人間に限って、よその内部告発握りつぶしに対して批判的なのかな、とか言ってみる。
(ぶつぶつ…) http://twitter.com/yumechika
ただの自己満足なのか (スコア:2)
私が思うに、学校の先生ならば、「安全であるべき」と思う彼の志向を、職業技能として高めてあげる方向で絶対的に動くべきで、単に自宅謹慎として行為の社会的意味を教えなかった学校側の教育態度には問題がある。この原因は、学校の先生が情報リテラシーを持っておらず、さらに、世間ズレしているからであるといえる。たとえば、ほとんどの場合「ハッキングやパスワードの悪用は禁止です」という一言のレベルでしか教えられないのが現状だと思う。(可能性は低いが、ちゃんと伝えている可能性が無いともいえないけど)伝わってないのなら教えてないのも同じ。
彼のブログのエントリーだけでは、先生がどこまで伝えて、どこまで伝えなかったのか、判断がつかないですが、将来的には、jbeef先生みたいに、法律に違反すること、しないことを明確にわかった上で、自己防衛する技術を身に付けて、社会にでてがんばって欲しいものですね。
部門名 (スコア:1)
「セキュリティが実は穴だらけ」ってところですか?
Re:部門名 (スコア:1)
Re:部門名 (スコア:1)
入札の条件 (スコア:1)
学校の案件は良くわからないでありますが……
入札にウイルス対策以上のセキュリティ対策って必要なんでありますか?
匿名でタレこむのが一番 (スコア:1)
雇う (スコア:1)
関連ストーリー (スコア:1)
似たような話があったと思って探してみたら中学生の事例 [srad.jp]がありました。
こんなに昔のストーリーではなかったような気がしたのですが……、他にもあるのかも知れません
プライバシーマーク (スコア:1)
プライバシーマークの無意味さなんて今更の話ですが、
「うちの学校はプライバシーマークも取得しているのでこういうことされては困るのです」
なんて反応を見るとやはりがっくりくるなぁ。
禿同 (スコア:1)
>実際そういうコード書く人はクビにされていいですよ。金の無駄ですよ。
禿同。
SQLインジェクション対策すらしてないパッケージって。
金をドブに捨てた学校のリストがありますね。
http://www.skymenu.net/product/report/ [skymenu.net]
まじめな話、これに乗ってる学校は今すぐ日記どおりのテストをしたほうがいいと思う。
そのうち (スコア:0)
机の引き出しに鍵を掛けるべきとかになるんですかね。
私が知らんだけでもうなってるのかも知れんけど。
前例に倣うと (スコア:0)
権限がなくとも強制的に落としてTweet
管理者によって警察沙汰になるなりかけるが
代表がTweet見て適切な処置だったと許容
# ○○○○巫女属性は必須でしょうか?
学校の方が生徒に教育すべきだった (スコア:0, オフトピック)
CD に root のパスワードが、もろにハードコーディングされた
Java のソースを焼いて配ってしまった。
Re:学校教育の不備 (スコア:1)
たとえば、匿名で掲示板に書いて炎上させてみたり、当事者ではなくスポンサーに抗議してみたり。