1.はじめに
佐賀県教育委員会システムの「SEIーNet」へ不正アクセスし、21万件の生徒情報が流出してます。17歳の少年が逮捕されました。原因と対策を考察します。
2.内容(推定)
(1)無線LANへの不正アクセス
まず最初に無線LANへの不正アクセスを手掛かりにシステムに侵入してます。無線LANは外部から侵入しやすい状況があります。また、無線LANの暗号化方式がWEPの場合は、簡単に解読できます。WPA2のPSKの場合も、Brute Forceなどにより時間をかければ解読できます。
(2)教育システムへの侵入
システムには個人が入れるID,PWDを生徒に配布しているようです。この情報を不正取得すれば教育システムに入れてしまいます。
(3)生徒情報の入ったサーバへの侵入
サーバに入るのは、どこかの脆弱性をついて侵入した模様です。セキュリティホールを探すツールが出回っているので高度な知識があればハッキングできます。
3.対策
(1)無線LANシステムに侵入されない
足がかりが無線LANシステムですが、対策は難しい。EAP-TLSなどの電子証明書を使う方式が一番強固ですがお金がかかります。
また、無線LANに侵入可能かWiFi Pen Testを行うことも有効な手段です。弊社で提供しております。
ICカードなど電子証明書を使う方式がセキュリティが高いですが、こちらもお金がかかります。pwdを定期的に変更させる、ワンタイムパスワードを使うなどいろいろなものがあります。
(3)サーバへの侵入
脆弱性はどのサーバにもあるので、各ベンダから出る脆弱性情報に基づききちんとソフトウエアをアップデートすることです。少なくともゼロデイ攻撃に合わないようにしましょう。弊社では、脆弱性情報を毎週有料で配信し、各システムとマッチングさせ、どのサーバに対策が必要なのか管理できるサービスを提供しております。
http://spectrum-tech.co.jp/service/powerbi_vulnerability.html
強み
・セルフサービスBIを初めて脆弱性分析に、採用しました。圧倒的な操作性と、驚異的な安さです。
・平成27年9月より、ネットワーク機器に特化した脆弱性対策通知サービスを行ってきました。その知見によりソフト(OS)からハードまで全ての範囲に拡大します。IPAから発出されている脆弱性対策情報はすでにすべてDB化しております。
・SI歴25年の専門家が対応します。
・自社保有の測定ツールと無線歴35年により無線LANのトラブル対応力No.1を目指します
企業名:スペクトラム・テクノロジー株式会社
担当名:村上正彦
URL: http://spectrum-tech.co.jp
電話番号:04-2990-8881