2016年7月10日日曜日

補足と佐賀県のIT化の話

どうもこんにちは、僕です。
前回の記事が5万PVを超えていまして、Twitterの拡散力って凄いなぁと改めて思ったりしています。

そして、西日本新聞の記事(↑)がTLに流れてきたので見てたりしたのですが、">ネットワークのセキュリティは『性善説』で作られている"というのを見て、やっぱりな と思ったりしました。

----

既に随所で解説されているので、僕は補足説明をしようと思います。

・まず、あのvbsファイルは"学習用PC"のadminパスです。 前のブログ記事を書いた時に"サーバーのパスワード"と勘違いしていた人がいましたが、"学習用PC"のadminパスです。

・んでもってそのadminパスがわかると、無線LANに接続する為のAES事前共有キーが分かります。 ワイヤレスのプロパティから普通に表示できるので、当たり前と言えば当たり前かと

・で事前共有キーが分かっても他の端末では接続できない(実際に僕が試していた)ので、(恐らく)macアドレスを偽装します。  因みに認証方法が普通のWPA2-PSKのAESだったので、少なくともそこまで高度な認証はしていないと推測できます。

・接続先のSSIDは高校の近くに行けば別の端末でも表示されるSSID(記憶が正しければpref-school、これは使わない・おそらく学校内かを判別するためのSSID)ではなく、ステルスされてるSSIDに接続します。 まぁSSIDをステルスにしてもあまり意味が無いのですが、恐らく普通の人から見ればステルスはセキュリティだと錯覚できるのでそれも”性善説のセキュリティー”の一環でしょう。
これで無線LANへ接続する環境は整うので、後はやりたい放題だと思います。なんせ見る人が見れば即分かるレベルのガバガバセキュリティ(笑)なので・・・。


_/ _/ _/ _/ _/ _/ _/
7/15追記 マーカー部分について恐らく確定しました - 無線LANのセキュリティはWPA2-EAP + macアドレス認証 + SSIDステルス

>不正アクセスは無線LAN(Wi-Fi)経由で、電波が届く校内か周辺で行われたとみられる。無線LANのアクセス許可には、「パスワード認証」「MACアドレス認証」「デジタル証明書認証」などの方式がある。一般に、これらを組み合わせると不正アクセスが困難になる。佐賀県では「WPA2-EAP」方式のパスワード認証とMACアドレス認証を組み合わせていた。デジタル証明書認証は採用していなかったが、WPA2-EAPは無線LANのセキュリティとしては比較的強固で、パスワードが漏れない限り、簡単には破れない。
>教委事務局によると「(無職少年は)何らかの方法で無線LANパスワードを入手し、MACアドレスを偽装してアクセスしたようだ」という。無職少年はこうして校内LANに接続後、校務用サーバーから成績情報などを窃取した疑いがある。校務用サーバーへのログインには管理者IDとパスワードを使ったようだ。

News & Trend - 佐賀県中高不正アクセスの手口は、無線LAN突破とID・パスワードの不正入手:ITpro http://itpro.nikkeibp.co.jp/atcl/column/14/346926/071400579/?n_cid=nbpitp_twbn_top #ITpro
_/ _/ _/ _/ _/ _/ _/

・SEI-netですが、インターネットからも接続できる(外部から接続できる)Webサービスです。 僕は別の端末からは接続出来ませんでしたが、ちょっと頑張れば普通にアクセスできると思います(恐らくUAか環境判別)。
他所でも指摘されてる通り返されるページの拡張子が.doでした。 そのため恐らくStruts(?)というWebアプリケーションかと。 StrutsってGoogleの検索バーに打ったら予測で"脆弱性"と出てくるので、不正な指令というのはそれを突いたものかもしれません。

----
・管理者のパスを変更しなかった理由についての考察
結局あのvbsのパスは”全学習用PC統一”のパスワードだと思われるので、変更するだけでもかなりの台数になり、手間と時間が必要になります。 そのため、なるべく変更はしたくなかったのでは無いでしょうか。
教材インストールの時に失敗がかなりの確率であったので、パスワードがまちまちになる可能性があるというのも懸念して実施されなかったのでは無いでしょうか。

--全然別の話--

僕の知る限り.......佐賀県は、2011年から救急車にiPadを乗せて、病院の情報を参照し、患者の「たらい回し」を防ぐという”ほぼどこにも前例がない” ”IT化”をしました。 
詳しくはここでは書きませんが、全国から視察が来ている等がニュースになっていたため、そこから”佐賀県をICTの最先端にする”という風潮が出来上がっていったのだと思います。


↓過去の記事になりますが、今回のICT教育を推し進めた要因がわかると思うので見て欲しいです。
【事例紹介】救急車の“たらい回し”を解消せよ! 佐賀県のiPadを使った取り組み - クラウド Watch http://cloud.watch.impress.co.jp/docs/case/642475.html

地方自治体のIT活用探訪:救急搬送をiPadで見える化した佐賀県、自称・ITオンチの新任職員はどう挑んだのか? (1/3) - ITmedia エンタープライズ http://www.itmedia.co.jp/enterprise/articles/1404/02/news003.html

----

ICT教育を今後どう進めていくかは知りませんが、今回の流失についてはどう対策するのかしっかり見ておく必要がありそうです。

----
追記:
面白い文言を見つけたので無茶苦茶加工して貼っておきます 左に映ってるのは学習用PCより数十倍活用されている電子黒板です.

2016年6月28日火曜日

残念だが当然の結果

お久しぶりです。 僕です。
久しく特段何も無かったのですが、今回とうとう僕が想定していたセキュリティ上の問題が起こりました。


> 佐賀県の教育情報システムから大量の個人情報が盗まれた不正アクセス事件で、県内の複数の高校が、システム管理者の情報を生徒も閲覧できる状態にしていたことが27日、警視庁への取材で分かった。
> 警視庁サイバー犯罪対策課によると、県立高校などの校内ネットワークシステムは、教員と生徒それぞれにIDとパスワードが割り当てられているが、生徒が閲覧できる範囲は限られている。全生徒の個人情報を閲覧するには管理者用のIDなどが必要になる。
> しかし、複数の高校は管理者用IDなどを含むファイルを、システム上の生徒が閲覧できる場所に保管していた。


まぁ僕の想定の範囲内です。 なぜなら

2014年4月16日の時点で生徒用学習用PCの管理者アカウントのパスワードが分かったから。


4月に教材をインストールする際、vbsファイルを用いてインストールしていたのですが
このvbsファイル、 "実行して1秒後に管理者アカウントのパスワードを打ち込んでEnterを押し、指定したbatファイルを実行する"というとてもアレなものでした。
そのため、そのvbsファイルを起動した直後にメモ帳等をアクティブにすればパスワードが丸わかりという・・・
また、そのファイルは普通にずーっと学校でアクセスできるNASに保存されたままという・・・


ICT教育はもう始まって3年も経つので中止にも出来ずどうしようもない状態に陥っていると思います。
今思えばJavaがインストールされてるのにアップデートされてなかったり、使用ブラウザはIEでしかもFlashも入ってるのに更新は止められてたり、Windows Updateも正常に進まなかったり、そもそもの話授業で殆ど使わず電子黒板だけで十分という・・・

しかも教員もよく分かっておらず、ICT担当はスマホキャリアショップの店員並に例外に対して何も分かっていないという現実・・・
とにかく最先端(実態はただの辞書)という建前の為に無理やり学校に組み込んだICTは、
ある意味想定通りに失敗となったのでした。


2016/06/30 1:26追記
パスワードの変更等を行った と報道がありますが、僕が知る所では少なくとも「パスワードはデフォルトから勝手に変更するな」とICT担当から言われていました。
なにぶん勝手に変更した人がいたそうで、そうするとメンテナンス等の時にアクセスできなくなるんだとか。
そんな・・・ デフォのパス数字オンリーの8桁ですぜ・・・ 変えたほうが良いに決まってるでしょう・・・
まぁ、どっちにしろ adminのパスがわかってるのでどうしようもないんですが。
教師陣も紙にパス書いてたりしてましたし・・・。





----

iOS,Android端末が浸透してきて大分時が経ちましたが、それらの端末の機能を使いこなしている人は1割にも満たないと僕は思っています。
ある程度の統合デバイスとして便利になり、前まで音楽を聞かなかった人が音楽を聞いたりだとか、手軽に書物を読んだりだとか、 "常に"高画質なカメラ機能がついたりだとか、手帳や電卓やタイマー等が手軽に使え得るようになり日常的な事を"集約"できるようになりました。
しかし、汎用的であるが故に完全に置き換えるまでには至っていないと思います。

そこに学校で突如ICTと言ってそういったデバイスを組み込んだとしても、使いこなせる人は居ないわけです。
そもそも、教科書は教科書で普通に紙製のものを持ってこないと忘れ物扱いになるし、ノートをOnenoteで取ってる人は1人も居ません。 授業を録音したり動画にしたり板書を写真に撮ったりも勿論不可能です。

汎用的デバイスが普及したのは手軽で、簡単で、前よりも楽だからであって
少なくとも電子教科書より紙の方が PC上のノートよりも紙のノートが タブレットよりも電子辞書の方が手軽で直感的で新しいものよりも楽だった訳です・・・。

----

僕は諸事情で既に学習用PCを使う環境にはいません。
その為、今後こういった記事を書くことはもう無いと思います。
何かあったらここのコメント欄ではなくTwitter(@_Aomasa)の方によろしくお願いします・・・。