最近、AI(人工知能)やロボットとともにIoT(Internet Of
Things モノのインターネット化)に注目が集まっています。
そこでリスク管理の観点からIoT時代における不正アクセスの問題やリスク、およびその対応策について3回にわたってご紹介します。
1回目は、学校の教育システムからの個人情報の流出についてです。
ちょっと古い情報ですが昨年10月27日(木)放送の「時論公論」(NHK総合テレビ)でコンピューターシステムにおける相次ぐ不正アクセスについて取り上げていたのでご紹介します。
企業などのコンピューターシステムから、不正アクセスによって顧客情報や機密資料が流出する事故が相次いでいます。
こうした中、佐賀県の教育システムから生徒の成績を含む1万人以上の個人情報が流出した事件に関する第三者委員会の調査がまとまり、2015年10月27日に提言書が公表されました。
2015年6月に発覚したこの事件は、教育システムに対する不正アクセスとしては最悪のものです。
更に提言書は、このシステムにとどまらず、現在運用されているすべてのコンピューターシステムを守る上で欠かせない、本質的な注意点を指摘した、注目すべき内容となっています。
解説のポイントは2つです。
まず、この教育システムにはどのような問題があったのか、不正侵入の手口を追いながら運用面も含めた問題を見ていきます。
2点目は、他のシステムで同じような被害に遭わないための教訓について考えます。
まず、この不正アクセス事件について振り返ります。
佐賀県は、コンピューターを使った教育システムの構築に力を入れてきました。
中でも、教育関係者の間で有名だったのは、県立の中学校と高校が利用出来る教育システム「SEI-Net」です。
「SEI-Net」は、自宅からもアクセス出来るホームページのシステムです。
インターネットを通じて宿題を提出したり、学校の予定を確認したり出来ます。
県内全域を対象にこうしたシステムを運用しているのは佐賀県だけで、文部科学省はIT利活用の先進的なケースと位置づけています。
しかし、17歳の無職の少年と友人の高校生などが、このシステムを含む県の教育関連システムに不正アクセスし、成績情報を含む1万4000人分の個人情報を盗み出したとして逮捕されたり書類送検されたりしました。
提言書によると、この個人情報は各学校に設けられたコンピューターネットワークに保存されていました。
学校には、学習用のネットワークと教師が使用する校務用のネットワークがあります。
こちらの学習用のネットワークは授業で使用します。
生徒が自分のパソコンを持ってきて、無線LANによってアクセスします。
パスワードを使ってログインすると、インターネットを使った学習や、自分の答えを電子黒板に表示したり出来ます。
このネットワークは教員も利用します。
こちらの教材などを保存するコンピューターがあり、授業のために取り出すことが出来ます。
一方、こちらの校務用のネットワークは、成績表や生徒の個人情報などを保存する領域です。
いわば職員室の金庫にあたり、こちらの学習用ネットワークからは入れないようになっていました。
では、どのように不正侵入したのでしょうか。提言書の内容から見てみます。
生徒らは、去年の3月、自分のパソコンを持って来て教員のところに行き、「パスワードを入れても学校のネットワークにログインできなくなった」と持ちかけました。
教員は、確認するために自分のパスワードをこのパソコンに入力しました。
しかし、このログイン画面は偽物でした。
入力した内容はパソコンの中に保存されるようになっていて生徒らにだまし取られてしまったのです。
少年らは、このパスワードを使い、教員になりすまして教室の外からネットワークにログインしたと見られています。
そして教員しか見られないコンピューターの中をあさったところ、重要な資料が保存されているのを見つけました。
本来は接続出来ない校務用のネットワークに侵入出来るパスワードなどの情報でした。
少年らはこの情報に基づき、ここから校務用のネットワークに侵入し、成績や生徒指導のメモなどの個人情報を盗み出していたのです。
更にこのメモには、他の学校のパスワードが推測出来る情報も書かれていました。
少年らは、それを利用してあわせて7つの学校のネットワークに侵入し、あわせて15万件の情報を盗んでいったと言われます。
このような経緯を見ると、今回の犯行は高い技術を持ったハッカーによるサイバー攻撃ではなく、守る側のパスワードの管理が甘かったのが主な原因だったと言えます。
まず、偽の画面を使って教員のパスワードを盗むのはシステムを攻撃するのではなく、人をだます手口です。
こうした手法は「ソーシャルハッキング」と呼ばれています。
例えば振り込め詐欺のように親族になりすまして電話をかけてパスワードを聞き出したり、パソコンの画面にパスワードが書かれていた付箋が貼られている場合、それをこっそりと見て憶えたりするような手口です。
本来自分のパスワードは、信頼出来るコンピューターにしか入力しないというのは、パスワード管理の基本です。
教員は、いわば職員室の金庫の鍵を渡すようなことをしてしまったのです。
次に、重要なパスワードなどの情報が安易に保存されていたことも大きな問題です。
提言書によると、これらの情報はシステムの使い方などを学校側に教えるサポート業者が引き継ぎメモとして保存していたということです。
これらのミスは、今回侵入された教育システムの問題だけに限ったことではありません。パスワードを奪うために人をだますソーシャルハッキングは、他の不正アクセスのケースでも見られるからです。
例えば、日本年金機構や大手旅行会社、JTBの個人情報流出では、取引先などをかたる本物そっくりの偽メールを使って人をだまし、ウイルスに感染させるという手口が使われました。
この2つのケースでは、大量の情報がセキュリティの甘いコンピューターに保存されていました。
本来は、もっと管理の厳しいコンピューターに保存することになっていましたが、利便性を優先して、本来保存するべきではないところにパスワードをかけずに保存していました。
こうした運用は佐賀県のシステムがパスワードの情報をネットワークに保存していたミスと共通しています。
今回の提言書は、こうした運用上のミスがシステムに導入されているさまざまな不正侵入装置を全く無駄にしてしまうと指摘しているのです。
では、私たちは、こうした不正アクセス事件を教訓に、どのような対策が求められるでしょうか。
まずは、パスワード管理の重要性を、システム管理者が利用者全員に教え込むことが大切です。
一つのパスワードが漏れてしまうと、重要な情報が芋づる式に漏れてしまうことになりかねないことは、今回の教育システムの事件が物語っています。
また、ばれてしまうことを考慮して、定期的にこのパスワードを変更することも必要です。
二点目に、パスワードを盗む詐欺的な手法を知っておくことも重要です。
例えば偽のホームページでパスワードを盗むという手法や、偽メールを使ってウイルス感染させる方法を知ることで、こうした手口に引っかかるリスクは格段に減ります。
最後に、重要な情報はそのまま保存せず、暗号化するなどの対策が必要です。
サイバー攻撃が人をだます方向に向かっているということは、攻撃対象はシステムの全ての利用者に広がっていると言えます。
今後、働き方改革の一つとして在宅勤務をするためのシステムや、マイナンバーポータルなど、自宅などから利用するコンピューターシステムが増えていくことになるでしょう。システムを安全に使いこなす、ITリテラシーが備わっているか、利用者全員が試されているのです。
以上、番組の内容をご紹介してきました。
以下に、今回ご紹介した不正アクセスにおける問題とその対応策についてまとめてみました。
(問題)
・偽の画面に騙されてパスワードを入力してしまうこと
・パスワードなど重要な情報のコンピューター上の不十分な管理
・本物そっくりの偽メールに騙され、ウイルスに感染してしまうこと
(対応策)
・適切なパスワード管理
システム管理者による利用者全員への研修の実施
定期的なパスワードの変更
・パスワードを盗む詐欺的な手法の理解
・重要な情報の暗号化
さて、これまでプロジェクト管理と日常生活 No.389 『マイナンバー制の導入時に必須のコンティンジェンシープラン』などで何度かサイバーセキュリティについてお伝えしてきましたが、相変わらずコンピューター上の不正アクセスが続いているようです。
また、今回ご紹介したように、高い技術を持ったハッカーによるサイバー攻撃ではなく、「ソーシャルハッキング」という偽りのサイトや魏メールなど人為的な原因による不正アクセスは、基本的な知識、および対策を講じるだけでも容易に防げるのです。
ですから、今やこうした不正アクセスにより被害を被ることの多くは人災と言ってもいいのではないかと思います。
同時に、サイバー攻撃のみならずこうした「ソーシャルハッキング」に対しては、それ自体を違法として取り締まることが出来るように法律改正することがリスク対応策の一環として必要だと思います。
今やインターネットを介した様々なコミュニケーションは私たちの暮らしになくてはならないとても便利なものとなりました。
しかし、同時にそれを利用した様々な犯罪も進化しつつあります。
ですから、インターネットの便利さを享受しつつ、それに伴う犯罪などの副作用を取り除くべく様々な対応策が求められるのです。
そうした際に、プロジェクト管理の基本的な考え方はとても参考になると思います。