駿台予備校 成績情報流出事件 続報 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.21(土)

駿台予備校 成績情報流出事件 続報

製品・サービス・業界動向 業界動向

 Scan Incident Reportは、先般発生した「駿台予備校 成績情報流出事件」について調査を行った。すでに、概要を速報として "Scan Daily EXpress" で配信しているが、収集した情報をもとに問題を整理した形でお届けする。

駿台予備校のネット合否シミュレーションで受験生の成績情報流出
(2003.1.26)
https://www.netsecurity.ne.jp/article/1/8399.html
Scan Daily EXpress
http://www.vagabond.co.jp/c2/

 この事件は、駿台予備校が高校に配布した「CD-ROM版選太君」およびサーバの設定に問題があり、受験生がセンター試験の結果を自己採点した成績情報が流出したものである。

 自己採点したデータは、高校別にサーバ上におかれており、「CD-ROM版選太君」を使用して各高校はそのデータをダウンロードすることができるようになっていた。「CD-ROM版選太君」とサーバの双方に重大な問題があった。


>> 「CD-ROM版選太君」とサーバに存在した問題

 ・受験生の成績情報がサーバ上に存在し、 ftp でアクセス可能であった。  つまり普通の ftp ソフトで全ての成績情報ファイルを入手することが可能となっていた。(IDとパスワードは「CD-ROM版選太君」に含まれていた) ・通信途中でのデータ盗聴も可能となっていた。
  「CD-ROM版選太君」とサーバ間の通信は、平文で行われており、データの盗聴が可能であった。
 ・「CD-ROM版選太君」は、インストール数やインストール先について制限する機構がなく、例えば、悪意ある第三者が自宅に持ち帰ってインストールすることも可能であった。
 ・サーバ側にもドメインやIPアドレスによって、アクセスを制限する機構がなかったため、どこからでも ftp でアクセスすることが可能であった。
 ・成績情報を収納したサーバは、同校のWEBサーバやメールサーバにもなっていた。一般に公開しているWEBサーバ上に重要な情報をおくことは、行ってはならないことのひとつである。この点だけでも同校のサーバ管理、運用には、基本的な問題があったと考えられる。

 また、多数のセキュリティ関係者の参加するメーリングリスト「セキュリティホールmemoメーリングリスト」では、現在も同校が提供を続けている「インターネット選太君」で暗号化などの対策がとられていない問題が指摘されている。


>> 本件だけではないかも知れない 「専用ソフト」に隠れた危険性

 今回の事件は、成績情報というきわめてデリケートな情報をぞんざいなシステムで扱うことの危険性を浮き彫りにした。
 また、現在特定用途のインターネット利用で「専用ソフト」を利用するものがある。しかし、ブラックボックスとなっているその「専用ソフト」の中身が安全性については利用者はほとんど気にしていないのではないだろうか?「専用ソフト」の配布者も利用者もその安全性について考える必要がある。

セキュリティホールmemoメーリングリストの高木氏の投稿
[memo:5294] 氏名や住所が含まれていなければ暗号化の必要はない?
http://memo.st.ryukoku.ac.jp/archive/200301.month/5294.html

Scan Incident Report
http://www.vagabond.co.jp/c2/

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  2. Raspberry PiにKali linuxをセット、「ホワイトハッカ育成ツール」発売(スペクトラム・テクノロジー)

    Raspberry PiにKali linuxをセット、「ホワイトハッカ育成ツール」発売(スペクトラム・テクノロジー)

  3. 自分の利用しているサーバの状況を確認する方法 不正中継確認

    自分の利用しているサーバの状況を確認する方法 不正中継確認

  4. 30年度サイバーセキュリティ政府予算730億円、防衛省と厚労省が各45億円超(NISC)

  5. 新アルゴリズムを開発、古い制御システムでもサイバー攻撃対策が可能に(日立)

  6. Apache Strutsの脆弱性リスクの有無を判断できるツールを無料配布(Black Duck Software)

  7. ルートゾーンKSKロールオーバーの「新KSKでの署名開始」を延期(JPRS)

  8. 顔認証システムの現状、顔写真を使った「なりすまし」も3Dデータ照合で防ぐ

  9. IoTとAIを組み込んだスマートマンション、そのサイバーセキュリティを探る(インヴァランス)

  10. ここが危ないインターネット クレジットカードの落とし穴

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×