佐賀県の県立学校情報システム(写真1)で起こった不正アクセス事件の全貌が明らかになってきた。

 佐賀県教育委員会は2016年6月27日、不正アクセスのため、生徒の成績や保護者・教職員の個人情報を含むファイル約15万3000件が漏洩していたと発表した(関連記事:佐賀県の学校システムに不正アクセス、成績・生徒指導含む15万ファイル漏洩)。同日、警視庁は不正アクセスと情報窃取に関わった疑いで、佐賀市の無職少年を再逮捕した。また、事件に複数の在校生が関わった可能性が出てくるなど、波紋が広がっている。

写真1●佐賀県の教育情報システム「SEI-Net(セイネット)」の紹介
写真1●佐賀県の教育情報システム「SEI-Net(セイネット)」の紹介
(出所:佐賀県教育委員会のWebサイト)
[画像のクリックで拡大表示]

 佐賀県教委事務局は7月13日、日経コンピュータの電話取材に対し、「窃取されたと思われるファイルの内容の精査と、関係した可能性がある生徒への聞き取り調査を進めている。調査が進んだ段階で改めて詳細を公表する」と答えた。県内の高校生15人が不正アクセスに関連する情報を共有していた可能性があるとみて、在籍する高校を通じて調査しているという。現時点では、漏洩した情報による2次被害の報告はないとする。

クラウド型教育情報システム「SEI-Net」が被害

 今回の事件では佐賀北高校や武雄高校など県立の中・高9校が被害を受けた(写真2)。サーバーの種類は、県立学校が共用するクラウド型の教育情報システム「SEI-Net(セイネット)」と「校内LANの校務用・学習用サーバー」の二つに大別される。この二つで不正アクセスの手口は全く異なる。

写真2●不正アクセスで被害を受けた佐賀県立学校とサーバーの種類
写真2●不正アクセスで被害を受けた佐賀県立学校とサーバーの種類
(出所:佐賀県教育委員会のWebサイト)
[画像のクリックで拡大表示]

 教委事務局の説明によれば、SEI-Netへの不正アクセスは、個人情報保護の観点で、仕様・設計に甘さがあったWebアプリケーションの不具合を突かれた。7校の教職員のID・氏名・メールアドレス計579人分と、生徒のID・氏名計5502人分が漏洩した。

 SEI-Netには「学習管理」「校務管理」などの機能がある。このうち、不正アクセスの舞台となったのは「学習管理」だった。教材のやり取りや、学校からの告知事項の確認などに使う。この機能は校内だけではなく、自宅からもインターネット経由で利用できる。IDとパスワードでログイン認証する。