【マンスリーレポート 2003/01】成績情報が流出した駿台予備校 その問題点 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.21(火)

【マンスリーレポート 2003/01】成績情報が流出した駿台予備校 その問題点

製品・サービス・業界動向 業界動向

 去る1月25日、駿台予備校は、同校の提供する合否シミュレーションサービス「インターネット選太君」に、一部の受験生の成績情報が第三者から閲覧可能な状態にあったことを公表。同校は、「CD-ROM版選太君」を使ったサービスを停止した。
 「成績」というナーバスな個人情報であるがゆえ編集部でも着目していたのだが、様々な角度から調査してみるにつけ、複数の問題点と思しき部分が露わになった。


>> 自己採点した成績情報の入手が可能に

 まず、経緯を記しておこう。
 駿台予備校では、センター試験を受験した現役受験生のうち、駿台に得点データを提出した人のデータを集計し、合格可能性を判定する「センターリサーチ」を行っている。この提出は、現役生の場合は各高等学校が一括で行うようになっている。これらデータが加味されたかたちで合否シミュレーションサービス「インターネット選太君」は成り立っている。

 このサービスを受けるためのひとつの手段が、「CD-ROM版選太君」と呼ばれるソフトをPCにインストールし、駿台のサーバから、その高校の分の成績データベースをダウンロードする方式である(CD-ROM自体にデータが含まれているわけではない)。「CD-ROM版選太君」は各高校に配布されている。

 ユーザは、「CD-ROM版選太君」を立ち上げ、所定のIDとパスワードを入力することで合否シミュレーションや成績の確認を行うことが可能となっていたが、同時に一定期間、センター試験の結果を自己採点した成績情報の入手が可能となっていた。

 編集部で第一報を報じたのが、駿台側から発表があった翌日の26日。その後、駿台予備校サイドから指摘をいただき、不備があったのは「CD-ROM版選太君」の一部であり、サービスそのものにエラーがあったわけではない、という旨を受けたのだが、その後の調査によっていくつかの問題点が浮上する。


>> 成績情報が、普通のFTPソフトでもアクセス可能

 まず、サーバ上に存在していた受験生の成績情報が、FTPでアクセス可能だったこと。つまり普通のFTPソフトで、全ての成績情報ファイルを入手することが可能となっていた(ダウンロードの際は、各高校のIDとパスワードに関係なく任意のパスにアクセスするようになっており、そのパスは「CD-ROM版選太君」に含まれていた)。また、サーバ側にもドメインやIPアドレスによって、アクセスを制限する機構がなかったため、どこからでもFTPでアクセスすることが可能な状態であった。

 このような状況に加え、「CD-ROM版選太君」は、インストール数やインストール先について制限する機構がない。悪意ある第三者が自宅に持ち帰ってインストールすることも可能であった。

 さて、肝心のデータであるが、当初駿台側の公表(第一報)によれば「個人データは含まれていない」とのことであったが、ダウンロードできるデータには個人成績データに加え、(高校の)クラスや出席番号も記載されていたとのこと。大学入試センター発行の高校コード一覧表は公表されており、これは「個人(を特定できる)データ」と見なされてしかるべきものである。


>> どこからどこまでが「個人(を特定できる)データ」になるのか?

 また、たとえクラスや出席番号がなくとも、一体どこからどこまでが「個人(を特定できる)データ」になるのか、現在はとても曖昧なまま、ネットワーク社会は走り続けている。

 ちなみに「CD-ROM版選太君」とサーバ間の通信は、平文で行われており、データの盗聴が可能であった。これが何を意味するのか――。


[ Prisoner DAMLAK ]

(詳しくはScan Incident Reportをご覧ください)
http://shop.vagabond.co.jp/m-sir01.shtml


告知:
SCAN シリーズ まるとく・セキュリティ商品 4大キャンペーン! 3月末まで!
http://shop.vagabond.co.jp/campaign/
『Scan Security Management』 創刊!
http://shop.vagabond.co.jp/m-ssm01.shtml

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. 「Office 365」のアカウント情報が漏えいすると企業の脅威になる可能性(IPA)

    「Office 365」のアカウント情報が漏えいすると企業の脅威になる可能性(IPA)

  2. 自分の利用しているサーバの状況を確認する方法 不正中継確認

    自分の利用しているサーバの状況を確認する方法 不正中継確認

  3. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  4. 新たにCISOを設置、SOCにCSIRTとPSIRT機能を集約し経営体制を強化(東芝)

  5. サイバーセキュリティ経営ガイドライン改訂、経営者が指示すべき10項目見直しや事後対策取組など(経済産業省)

  6. 人の動作に偽装するボットアクセスを検知(アカマイ)

  7. セキュリティ専門家がCSIRTの新規構築、既存の見直し・強化を支援(SBT)

  8. ITだけでなくOT、IoT分野のセキュリティインシデントに早期対応するSOC(日立システムズ)

  9. 自社技術とトレンドマイクロ製品で、ネットワークセキュリティの実証実験(IIJ)

  10. IoTとAIを組み込んだスマートマンション、そのサイバーセキュリティを探る(インヴァランス)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×