松江高専における情報セキュリティインシデントとその対応 岡田 康*1 原 元司*2 谷口 哲至*4 衣笠 保智*3 池田 総一郎*1 廣瀬 誠*2 金山 典世*2 *1 松江工業高等専門学校 実践教育支援センター *2 松江工業高等専門学校 情報工学科 *3 松江工業高等専門学校 電気工学科 *4 松江工業高等専門学校 数理科学科 概要 松江高専では,平成 21 年度に一部の学生の個人情報が外部へ流出する「セキュ リティインシデント」が発生し,学生の氏名や成績の一部がインターネット上に公開 状態となった.また平成 22 年度には,学生の個人所有 PC による学内からの P2P ファ イル共有ソフトの利用が発覚した.いずれも現代のネットワーク社会において問題視 されている事件が立て続けに起きたことで,学内外への対応を行うこととなった. 本稿では,松江高専でのセキュリティインシデントの顛末およびインシデント防止 への取り組みについて報告する. 1.はじめに 松江高専では,平成 21 年に一部の学生の個人 情報が外部へ流出する「セキュリティインシデン ト」が発生した.これにより,あるクラスの学生 氏名のほか,ある履修科目の成績の一部がインタ ーネット上に公開状態となった.学校側の処置と して,HP 上での報告,マスコミ対応,保護者に対 する報告等を行った. また,平成 22 年に学生による P2P ファイル共 有ソフトの利用が発覚する事例があった. 本稿では,松江高専におけるこれらのセキュリ ティインシデントの顛末とその防止への取り組 みについて報告する. 2.情報漏洩事件 2.1 情報漏洩事件の経緯と対応 平成 21 年 12 月 11 日(金),学生からの申し出 により,あるクラス 43 名の氏名・学生番号・出 身中学校・そして履修科目の成績の一部が松江高 専 HP からインターネット上に公開されている事 実が判明した.その事実を確認後,コンテンツの 修正を行い,同日夕方に,成績データのキャッシ ュが残る某検索サイトに対して削除依頼を行っ た.12 月 18 日(金)の朝の時点で検索サイトでの 該当データの削除を確認し,12 月 21 日(月)午前 中に HP 上で学校長名による事件の状況報告iと, 該当クラスへ経緯の説明と謝罪を行った.また, 全保護者に対して,12 月 25 日(金)に成績表の送 付と共に謝罪文を送付した. 一方,事件発覚後に最高情報セキュリティ責任 者(高専機構理事長)に対して,本校の情報セキュ リティ責任者(荒木校長)より報告を行い,全教 職員に事件の経緯等についてメールにより通知 を行った. 2.2 情報漏洩事件の原因 今回の情報漏洩事件の発端は,教職員による設 定ミスが原因であった. 松江高専では,教職員用のファイルサーバ上で, 各教職員に割り当てているホームフォルダ内に 情報公開用のフォルダを置いている.各教職員は, このフォルダ内に公開したい HP データを置くと, 定期的に情報公開用 WWW サーバへコピーされる仕 組みとなっている. しかし,今回情報漏洩が発生した WWW サーバ上 では,ある教員についてコピーされるべき情報公 開用フォルダの指定(シンボリックリンク)を誤 ってホームフォルダにしてしまっていた.ここに 教員が成績ファイルを一時保管したことで,情報 公開用 WWW サーバ上に成績ファイルがコピーされ, 成績ファイルがインターネット上に公開される 事態となった. 2.3 事件の顛末と再発防止 12 月 21 日(月)午前中の HP 上での報告からわず か数時間後に,某新聞社からの取材依頼があり, 21 日午後に対応を行った.また,数日後に地元有 力新聞社からも取材があり,HP 報告から 1 週間以 内に某新聞地方版,地元有力新聞で事件が公表さ れることとなった. 再発防止策として,情報公開用フォルダの設定 方法の変更(手作業ではなくスクリプト化),別の 教職員による確認作業を義務化した. 3.ファイル共有ソフトの利用 3.1 利用の発覚 平成 22 年 5 月に,学生による P2P ファイル共 有ソフトの利用が発覚する事例があった.P2P の 利用が判明したきっかけは,寮におけるネットワ ーク構成変更後に起きた,学内 LAN の外部通信の 不調だった. 通信記録を調査すると,ある寮生が寮で接続し た PC から 30Mbps ものトラフィックが発生してお り,ルータがダウンしているものと推測された. この PC を調査したところ,19 種類以上のウィル ス・スパイウェアに感染していることがわかった. 学生を問いただしたところ,ウィルス対策ソフト ウェアを導入していなかったことはもちろん, P2P ファイル共有ソフトウェア(μTorrent)を常 用していることを白状した.また,この学生から の証言で P2P ファイル共有ソフトウェアについて は「多くの学生が使っている」ことが明らかにな り,問題が一気に大きくなった. 3.2 P2P ファイル共有ソフトウェア対策(1) 松江高専は,平成 17 年度から P2P の利用検知・ 防止システムである NetAgent 社製の「One Point Wall」 (以下 OPW と略記する)を導入している[1]. OPW の特徴は,NIC2 枚を入れたブリッジとして 働き,FW と学内 LAN の境界で動作することから, 現行のネットワーク構成への影響が最小限で済 むという利点がある.さらには,暗号化 Winny の 利用検出とブロックが可能な数少ないシステム として多くの組織で導入実績がある.OPW が P2P ファイル共有ソフトウェアを検出・ブロックして いる様子のログ記録(アラートログ)を図 1 に示 す. OPW の欠点は,価格と保守費用(購入:約 90 万 円,保守料:約 60 万円/年)が高額な点である. また,OPW は表1の通り,主要な P2P ファイル共 有ソフトウェアのほとんどに対応しているもの の,すべての P2P ファイル共有ソフトウェアを検 出・ブロックできる訳ではない.今回学生が利用 していたμTorrent は検出可能なものの,ブロッ クまではできていなかった.Skype を除く P2P フ ァイル共有ソフトウェアについては検出・ブロッ ク設定にしていたため,ネットワーク管理者は定 期的なログ記録の監視を行っていなかった.これ は完全な油断であり,μTorrent の利用を見逃し ていたことが悔やまれる. 図1.OPW のアラートログ画面 表 1.OPW で検出可能な主要ソフトウェア Napster AresGalaxy Blubster Gnutella Kazaa NapMX eDonkey(2000) iMesh BitTorrent Gnutella Share Shinkuro WinMX Winny 3.3 P2P ファイル共有ソフトウェア対策(2) 松江高専では,佐賀大学が開発したネットワー ク認証システムの「Opengate」を平成 15 年度か ら導入している[2].このシステムは,校内から インターネット接続を行う際に学内で登録され ている POP アカウントのユーザ名,パスワードを ブラウザ上で入力させ,認証が完了した時点で初 めて端末のインターネット接続を許可するシス テムである.このシステムの導入により,図書館 などの公開端末,情報処理演習室の共用 PC など を含めて,インターネット接続を行う端末の利用 者を特定することが容易になった. 一方,松江高専では平成 22 年 4 月より,各ス イッチの VLAN 設定によってすべての部屋で異な ったサブネットを割り当てている.このため,ネ ットワーク上のトラブルの検出が容易になって いる.また,OPW のログに記録された IP アドレス を元に,端末が接続された部屋,その端末のユー ザが容易に割り出せるしくみとなっている. 図2.Opengate の認証画面 3.3 その後の顛末と利用防止についての試み 事件発覚後,学生・寮・教務合同委員会におい て,P2P ファイル共有ソフトウェアの使用につい て処分内容が検討された.結果として,著作権侵 害の有無を問わず利用が発覚した学生について は停学以上の処分を行うことが決定され,学生お よび保護者に対して周知することとなった.全学 生に対しては,実験・実習,LHR,夏期実習説明会 などを利用して直接指導を実施し,警告の掲示を 行った.また,保護者に対しては前期中間試験の 成績表とともに,学生指導に関する手紙と「P2P ファイル共有ソフトウエアと著作権」と題した資 料を送付した. 学生に直接処分方針を周知するまでの間,OPW のログをしばらくの間毎朝監視し,P2P ファイル 共有ソフトウェアの利用者を特定し,主事注意・ 警告を断続的に実施した.主事注意を受けた学生 は,3 年生以上の全学科(専攻科生を含む)約 10 名にのぼり,罪悪感が希薄な点が問題となった. 一方,寮では事件発覚後校内ネットワークへの 通信を遮断し,寮における全 PC の登録(MAC アド レス)を実施した.ここで,ウィルス対策ソフト ウェアの導入状況,P2P ファイル共有ソフトウェ アの導入状況などを寮生相互にチェックさせる ようにした.現在は,寮からの接続については MAC アドレスレベルのフィルタリングを実施してい る. 4.おわりに 以上,松江高専で発生した情報セキュリティイ ンシデントの顛末とその対策等について報告し た. 学校における情報漏洩のほとんどは,教職員の 不注意とモラルの欠如(ファイル共有ソフトウェ アによる情報漏洩)にある.本校がその当事者に なろうとは誰も夢にも思っておらず,事実が発覚 した際には,情報ネットワークWG委員のほとんど が「まさか?そんなはずが・・・」という反応で あった.今後は細心の注意を払って管理業務を実 施していきたい. 一方で,多くの高専においては,ネットワーク 管理の専任スタッフの雇用は難しく,業務の片手 間でこのようなログ記録の監視,P2Pファイル共 有ソフトウェア利用者の特定,指導などの業務は 過大な負荷となる. いかにシステムが進歩しようが,結局最後は「 学生自身のモラルをいかに高めるか」というと問 題に帰着してしまう.著作権を保護する意識や, ネットワークを利用するうえでの倫理観を教育 によっていかに向上させるかが今後の課題であ る.本校での事例が各高専の参考になれば幸いで ある. 参考文献 [1] One Point Wall: http://www.onepointwall.jp/ [2] Opengate ホームページ: http://www.cc.saga-u.ac.jp/opengate/ i 高専機構より HP での報告あるいは記者会見,というアドバイ スがあったが,被害の範囲が狭い(科目中で実施した特定の実験 の評価のみ)であること,それまでに被害報告がないことなどを 勘案して HP での報告にとどめることとした.また,被害者に対 して謝罪を既に行っているため,HP 上では事件の顛末と報告,行 った対処方法を述べるにとどめた.
© Copyright 2024 Paperzz
