群馬県の前橋市で悲しい出来事が起こりました。教育委員会の管理する生徒児童の情報が漏れたニュースがありました。
INDEX
教育委員会のお詫びページ
教育委員会のお詫びページでは、以下の2つのリスクが書かれています。
・窃取された口座情報で、現金が勝手に引き出される可能性はありません。
漏洩した情報
(1)平成29年11月の時点で前橋市立小・中・特別支援学校に在籍していた全ての児童生徒の個人情報で、件数は25,725件となります。情報の項目は以下の通りです。
2 組
3 出席番号
4 氏名
5 性別
6 生年月日
7 国籍
8 住所
9 電話番号
10 保護者氏名
11 アレルギー
12 既往症
等
(2)平成29年2月から平成29年7月の間、前橋市公立学校(園)で給食を喫食していた園児児童生徒及び教職員の給食費を徴収するための口座情報で、件数は最大で19,932件となります。情報の項目は以下の通りです。
2 支店名
3 口座番号
4 名義人氏名
等
※前橋市教育委員会からのお知らせとお詫び(http://www.city.maebashi.gunma.jp/sisei/532/001/p019321.html)より抜粋
漏洩した情報から考えられるリスク
口座番号などが漏洩しただけでは、問題ないと思いますが、アレルギー、既往症などは大問題です。
例えば、アトピー性皮膚炎で困っている子どもの親に、「アトピーの特効薬があるんです」と電話をかければ、わらをもすがる思いで、その薬を買うかもしれません。
新聞などにはさらっと、口座情報から現金を引き出されることはありませんと書いてありましたが問題はそこではないと思います。
セキュリティの問題
今回の問題ですが、正直何でこんな漏洩が発生するか理解できない恥ずかしいレベルの欠陥です。
今までの情報漏洩を考えてみて下さい。WEBサーバがハッキングされて漏れているのは、氏名、住所、カード番号等、インターネットで何か買おうとして、登録した情報です。インターネット通販をするときに入力する情報が外部に漏れることはある程度想定はできるのですが、今回漏れた情報は、おそらく内部情報。
教育員会事務局で保管している業務系のネットワークにある情報だと思います。学校の給食費の口座引き落としをインターネットから登録しているのなら話は別ですが、公立の学校でそんなことをやっているとは思えません。
通常のネットワークは公開するサーバと業務系のネットワークは別にするのが通例。 公開サーバーが2014年から更新されていなかった。ファイアウォールが有効に機能していなかったことが原因としていますが、根本的な設計がおかしいことが原因です。
まとめ
日本の自治体はこんなレベルなのかって思わされた事件でした。