どうもこんにちは、僕です。ネットで見つからなかったので、紙面貼っときます。佐賀版35面。 pic.twitter.com/kuctpqdaFi— Shoko Ogushi (@vostokintheair) 2016年7月8日
前回の記事が5万PVを超えていまして、Twitterの拡散力って凄いなぁと改めて思ったりしています。
そして、西日本新聞の記事(↑)がTLに流れてきたので見てたりしたのですが、">ネットワークのセキュリティは『性善説』で作られている"というのを見て、やっぱりな と思ったりしました。
----
既に随所で解説されているので、僕は補足説明をしようと思います。
・まず、あのvbsファイルは"学習用PC"のadminパスです。 前のブログ記事を書いた時に"サーバーのパスワード"と勘違いしていた人がいましたが、"学習用PC"のadminパスです。
・んでもってそのadminパスがわかると、無線LANに接続する為のAES事前共有キーが分かります。 ワイヤレスのプロパティから普通に表示できるので、当たり前と言えば当たり前かと
・で事前共有キーが分かっても他の端末では接続できない(実際に僕が試していた)ので、(恐らく)macアドレスを偽装します。
・接続先のSSIDは高校の近くに行けば別の端末でも表示されるSSID(記憶が正しければpref-school、これは使わない・おそらく学校内かを判別するためのSSID)ではなく、ステルスされてるSSIDに接続します。 まぁSSIDをステルスにしてもあまり意味が無いのですが、恐らく普通の人から見ればステルスはセキュリティだと錯覚できるのでそれも”性善説のセキュリティー”の一環でしょう。
これで無線LANへ接続する環境は整うので、後はやりたい放題だと思います。なんせ見る人が見れば即分かるレベルのガバガバセキュリティ(笑)なので・・・。
_/ _/ _/ _/ _/ _/ _/
7/15追記 マーカー部分について恐らく確定しました - 無線LANのセキュリティはWPA2-EAP + macアドレス認証 + SSIDステルス
>不正アクセスは無線LAN(Wi-Fi)経由で、電波が届く校内か周辺で行われたとみられる。無線LANのアクセス許可には、「パスワード認証」「MACアドレス認証」「デジタル証明書認証」などの方式がある。一般に、これらを組み合わせると不正アクセスが困難になる。佐賀県では「WPA2-EAP」方式のパスワード認証とMACアドレス認証を組み合わせていた。デジタル証明書認証は採用していなかったが、WPA2-EAPは無線LANのセキュリティとしては比較的強固で、パスワードが漏れない限り、簡単には破れない。
>教委事務局によると「(無職少年は)何らかの方法で無線LANパスワードを入手し、MACアドレスを偽装してアクセスしたようだ」という。無職少年はこうして校内LANに接続後、校務用サーバーから成績情報などを窃取した疑いがある。校務用サーバーへのログインには管理者IDとパスワードを使ったようだ。
_/ _/ _/ _/ _/ _/ _/
・SEI-netですが、インターネットからも接続できる(外部から接続できる)Webサービスです。 僕は別の端末からは接続出来ませんでしたが、ちょっと頑張れば普通にアクセスできると思います(恐らくUAか環境判別)。
他所でも指摘されてる通り返されるページの拡張子が.doでした。 そのため恐らくStruts(?)というWebアプリケーションかと。 StrutsってGoogleの検索バーに打ったら予測で"脆弱性"と出てくるので、不正な指令というのはそれを突いたものかもしれません。
----
・管理者のパスを変更しなかった理由についての考察
結局あのvbsのパスは”全学習用PC統一”のパスワードだと思われるので、変更するだけでもかなりの台数になり、手間と時間が必要になります。 そのため、なるべく変更はしたくなかったのでは無いでしょうか。
教材インストールの時に失敗がかなりの確率であったので、パスワードがまちまちになる可能性があるというのも懸念して実施されなかったのでは無いでしょうか。
--全然別の話--
僕の知る限り.......佐賀県は、2011年から救急車にiPadを乗せて、病院の情報を参照し、患者の「たらい回し」を防ぐという”ほぼどこにも前例がない” ”IT化”をしました。
詳しくはここでは書きませんが、全国から視察が来ている等がニュースになっていたため、そこから”佐賀県をICTの最先端にする”という風潮が出来上がっていったのだと思います。
↓過去の記事になりますが、今回のICT教育を推し進めた要因がわかると思うので見て欲しいです。
【事例紹介】救急車の“たらい回し”を解消せよ! 佐賀県のiPadを使った取り組み - クラウド Watch http://cloud.watch.impress.co.jp/docs/case/642475.html
地方自治体のIT活用探訪:救急搬送をiPadで見える化した佐賀県、自称・ITオンチの新任職員はどう挑んだのか? (1/3) - ITmedia エンタープライズ http://www.itmedia.co.jp/enterprise/articles/1404/02/news003.html
----
ICT教育を今後どう進めていくかは知りませんが、今回の流失についてはどう対策するのかしっかり見ておく必要がありそうです。
----
追記:
面白い文言を見つけたので無茶苦茶加工して貼っておきます 左に映ってるのは学習用PCより数十倍活用されている電子黒板です.
・SEI-netですが、インターネットからも接続できる(外部から接続できる)Webサービスです。 僕は別の端末からは接続出来ませんでしたが、ちょっと頑張れば普通にアクセスできると思います(恐らくUAか環境判別)。
他所でも指摘されてる通り返されるページの拡張子が.doでした。 そのため恐らくStruts(?)というWebアプリケーションかと。 StrutsってGoogleの検索バーに打ったら予測で"脆弱性"と出てくるので、不正な指令というのはそれを突いたものかもしれません。
----
・管理者のパスを変更しなかった理由についての考察
結局あのvbsのパスは”全学習用PC統一”のパスワードだと思われるので、変更するだけでもかなりの台数になり、手間と時間が必要になります。 そのため、なるべく変更はしたくなかったのでは無いでしょうか。
教材インストールの時に失敗がかなりの確率であったので、パスワードがまちまちになる可能性があるというのも懸念して実施されなかったのでは無いでしょうか。
--全然別の話--
僕の知る限り.......佐賀県は、2011年から救急車にiPadを乗せて、病院の情報を参照し、患者の「たらい回し」を防ぐという”ほぼどこにも前例がない” ”IT化”をしました。
詳しくはここでは書きませんが、全国から視察が来ている等がニュースになっていたため、そこから”佐賀県をICTの最先端にする”という風潮が出来上がっていったのだと思います。
↓過去の記事になりますが、今回のICT教育を推し進めた要因がわかると思うので見て欲しいです。
【事例紹介】救急車の“たらい回し”を解消せよ! 佐賀県のiPadを使った取り組み - クラウド Watch http://cloud.watch.impress.co.jp/docs/case/642475.html
地方自治体のIT活用探訪:救急搬送をiPadで見える化した佐賀県、自称・ITオンチの新任職員はどう挑んだのか? (1/3) - ITmedia エンタープライズ http://www.itmedia.co.jp/enterprise/articles/1404/02/news003.html
----
ICT教育を今後どう進めていくかは知りませんが、今回の流失についてはどう対策するのかしっかり見ておく必要がありそうです。
----
追記:
面白い文言を見つけたので無茶苦茶加工して貼っておきます 左に映ってるのは学習用PCより数十倍活用されている電子黒板です.
