中学生の不正アクセス事件について思うこと
昨年末に、生徒が先生の成績表管理データにアクセスし、成績表の改ざんを行った事件がありました。
詳細がいまいち不透明だったことが気になっていたのですが、各社の報道を横断的にまとめたブログ記事がありました。読んでみての所感をまとめたいと思います。
パスワード解析方法について
IPアドレスは教師用PCを借用したときに特定(デスクトップにショートカットがおいてあった)、パスワードは解析用プログラムで解析、とあります。
これ、おそらく自動でログインできるように記憶させてたために、ログイン画面のパスワード欄に*******と出るタイプだったと想定できます。
供述のとおり、そのログイン形式であれば「パスワード 読み取り」とかのありきたりな検索で余裕でひっかかるフリーソフトで解析できます。
『自力で改ざん』など新聞社によってはすごいことしたっぽく書いてありますが、やること自体はZIPダウンロード→解凍→ソフト起動→パスワードを紙に書き写す→ソフト閉じる→解凍したファイルをZIPごと消去 なので大したことではないです。
しかも、1日目にIPアドレスのみ、2日目にパスワード解析をしているということは、1日目のときはパスワード解析ができること自体を知っておらず、『これ*******って表示されてるのが読み取れればパスワードわかるってことだよな?それってできるのかな?』と思ってPC借用後に検索、これならできそうだと思って2日目に実施、というような流れだったのではないかなと私は推測します。
HDD窃盗理由の推測
で、なぜかIPアドレスとパスワードを確定させたのに、不正アクセスの前に教員用PCのHDDをぶっこ抜いているのがちょっと不思議だったわけですが、これも「最初は知らなかった」で説明がつくんじゃないかと思っています。要はスマホとか家のPCでIPアドレスを入力してエラーになるのがなぜなのかこの生徒最初はわからなかったんじゃないかと。で、その理由として学校のPCではないからじゃないかと思って、HDDだけ抜いて家のPCのHDDと差し替えてみたんだけど無理だったのでは…?。
で、どうやらIPアドレスというのはネットワーク内じゃないと接続できないということに気がついて、コンピューター室に放置されたタブレットパソコン使える!と思った。PC室のパソコンなら学校のネットワークに接続してるから、IPアドレスを入力すれば入れるはずです。
だけど長い時間パソコン室にいたら現場を見られる危険性があるので、遠隔操作アプリを入れた、という流れでは。
一応言っておくと遠隔操作アプリも「パソコン 遠隔操作」とか「リモートアプリ」みたいななんでもない検索ワードでかんたんにダウンロードできます。
学校側はどうすれば防げたか
結局学校側が気づいたきっかけが、教員用サーバーのアクセス履歴とかそういうものではなく、
タブレット端末が通常と違った設定になっていることを不審に思った職員が長岡署に通報
と。ザルすぎない???しかもそれ発端はハードウェア的な発覚じゃん!もしタブレットに気づかなかったらそのままだったということ???
というわけで、学校は事前にどのような対策をしていれば未然に改ざんを防げたかちょっと考えたいと思います。
- いつものデバイスでない場合の2段階認証(メール通知)
常にログインするPC(生徒が借用したPC)以外からの初回ログインにメール通知を飛ばせば一番最初の不正アクセス時に気づくことができたはずです。犯人が分からなくても、メールで不審に思った教師がパスワードを変更すれば再度の接続はできなかった。
- 生徒と教員(PC室と職員室)のネットワーク分離
いろいろな事情で難しかったのだと思うんだけど、学校のPC室からも教員用サーバーにアクセス可能(ネットワークが同じ)なのはちょっとリスキーな気がします。速度的にもどうなんだろう、情報の授業のときだけ激重になるとかありそう。
- パスワードを記録させておかない
教師個人の落ち度その1。付箋で貼ってないだけマシかもしれないけど五十歩百歩。
- PCを借用させない
教師個人の落ち度その2。PCを生徒に貸して目を離すってどういうことだと思ったけど、私も学生時代にそういうシチュエーションがありました(しかも教師の方から「PC得意だったよなーちょっと手伝ってほしくてー」と声をかけられた。作業に時間がかかるからと昼飯代をもらったのでウキウキしてたけど、あのときの私が何も悪巧みを思いつかなくてよかったね!)。
まあ、普通に起こりうることなのかもしれません。
そもそもPC室に生徒用タブレットパソコンあるならそれ使ってくれというべきだった気も。officeなかったのかな?そんなことないよね?
- どうしても貸すのであればゲストユーザーでの利用
教師自身の落ち度その3。どうしても貸すのであればゲスト用のアカウントを作っておくべきだったと思います。大して時間もかからないし、内容的にもスライドショーの作成なので、無理な話ではなかったはずです。
生徒側はどうすれば逃げられたか
ここまではホワイトな対策の話ですが、以下はこの生徒がどうやったら気づかれずに(通報されずに)改ざんできたかというブラックな方向の対策を考えてみます。
- 複数人の成績表を改ざんしておく
自分のもののみ、かつ、3を4にするというような軽微な改ざんにとどめていることからも、この生徒本人が改ざん発覚されることをあまり想定していなさそうな雰囲気があります。が、自分のだけ改ざんしたら誰がやったか丸わかりなので、不特定多数を改ざんしておけば発覚が遅れたかもしれません。多分罪は重くなるけど。
- 複数回アクセスしない
アクセス回数が増えれば足がつく可能性も高くなるため、やるなら一発で改ざんしておくべきでした。
- 自宅PC・スマホを使わない
IPアドレスを辿っていけばプロキシを複数通しても足はついてしまうでしょう。ならなおさら自宅PCやスマホを使うなんてありえない。
もし管理の手薄な野良Wifiをどこかで拾って海外鯖を2つくらい経由するとかしてたら、新潟県警は追えたんですかね(小声)。
- PC室のタブレットを物理的に隠す
踏み台にしてたタブレットの物理的な発見から事件が発覚しているので、前述したとおりタブレットが発見されなかったら教師も気づかなかったかもしれません。厳重に管理されず、1つくらい無くなってもわからない状態だったのなら、一時的なら校内のどこか他人にわからないところへ物理的に隠しておいても……。
これくらいかなと思います。逆に言うと、これくらいはまだできたということでもあります。発覚して捕まったからよかったものの、今後類似の事件では捕まらないということもありえます。もっというと気づいてないだけで年に数件は日本のどこかで起こってると思いますよ。うん。
なんでこんなことを書いたかというと、教育現場では、いわゆる情報の授業、IT教育は生徒と先生の間の知識・技術に差がなくなりやすいということをあまり認識していないのでは?と思ったからです。
中高生くらいになるとガンガン検索して独学でIT知識を増やしているから(本人に増やしているという自覚はない、おもしろいコンテンツを知りたいとかやりたいとかいう動機で勉強するので)、割とかんたんに教師のIT知識を超えてしまうことがあったりします。
普通、一般的な科目で生徒が教師の知識や経験を超えてしまうことはあまりありません。まあ体育とかの種目によっては教師よりテニスうまいテニス部員とか教師より足が速い陸上部とかいそうですが、それはその種目の話であって、体育全体の知識や技量が先生を超えているとはいえません。
しかし、ネットワーク環境が家にあることが当たり前になった今の10代・それ以下の年代の子供たちは、検索して出てきたサイトが親・先生の代わりに指導してくれるので、本人に興味と素質さえあればドンドン極められることになります。(※私の世代、約10年前は家に必ずネットがあるとは限らず、PCがないと情報量の多いサイトの閲覧が難しい時代だったので、親がPCについて詳しくないとIT分野でマニアックなところまで到達しづらかった)
もはや、中高生のIT知識を子供と侮ってはいけないところまで来ているんじゃないかと。あるいは小学生でも、Scratchなどをやり込んでいればそこらのおじさんにいちからプログラミングをやってもらうより、きっとスムーズです。
そういう状態ができるのがITだ、ということを理解している人は教師含め教育界隈には少ないんじゃないかと思います。
かといって画一的に「ネットは危ねえからやるんじゃないぞ」「もうパソコンルーム使うの禁止です」というような雑な利用制限をかけるのは違うと思っています。だって未成年のうちはそれでなんとかなるかもしれないけどインターネットを使えない成人が出来上がってそれでどうするんですか?間違いなくそれって職ないですけど。
家庭科で包丁を持つときにどう持ったら危ないとか、そういう指導のように、どうしたら危ないとかそういう方法を教えておくべきだと思います。あとは著作権や肖像権まわりの法律、不正アクセス禁止法など、ネットを使ったどういう行為が法律に抵触するかなどもやったほうがいいでしょう。
そして講師の持っている生徒の情報というのは超個人情報の塊なので、それなりのセキュリティというのを、どういうシステムとルールで守るか、校内で統一して遵守すべきだと思います。
(蛇足)
そんなこと書いてたら公立小学校プログラミング授業に対応できる教員が一部配置できないとか言ってますね。
Office関連の操作もそうですが、PCの操作は生徒個人のITスキルによって幅がありすぎて、1人で教えようとすると超大変です。先生待ちの長蛇の列ができる。で、前述したように教員の付け焼き刃の知識だと小学生でもおそらくすでにScratchやったことある・好きな子は余裕で先生の技術レベルを越してくるでしょう。暇だろうな、授業中…。