佐賀の脆弱な教育システム(SEI-NET)の侵入経路について考察してみた

佐賀の自称最先端システムのまとめ

先日、佐賀市で B-CASの移植コードを公開した無職少年が逮捕されましたが、その押収したPCから数万人の小中学生の成績データなどが出てきて、SEI-Netへの不正アクセスが判明したそうです。

これまでも、最低５回の不正アクセスが警察から寄せられており、すべて責任者がその情報を握りつぶしたのではないかと言われています。

つまり、B-CASの事件がなかったら、今も不正アクセスの実態が分からなかった可能性があります。
でも、これで終わったわけではありません。

何しろ、佐賀教育委員会の、対策が、管理パスワードの変更などしか行っていないのですから。

今も不正アクセスが行われており、それに気づいていない可能性があります。

というわけで、逮捕された少年が行った学内LANの侵入以外にどういった不正侵入のルートがあるのか考察してみることにします。

しかし、MACアドレスとか、偽装できるのになんでEAP-TLSとかで認証するようにしなかったんでしょうかね ・ω・

先導的教育システム実証事業に係る佐賀県の取組 - 総務省

これ見るとわかるけど、専用回線になっている。ただし、フィルタリングによって
インターネットからのアクセスも可能になっている。

サーバーはこんな感じになっている。これを踏まえたうえで次の議事録に注目

議事概要 - 佐賀県

おいおい、もしかして、証明書エクスポートして、別のPCに入れたら、学外でも見れるんじゃね？・ω・
あと、学習用PCだけど、Javaと Flash Player 入ってるのにアップデートできないようになってるから、３年分の脆弱性持ってるって聞いたんだけど、LAN外部に持ち出してインターネット閲覧したら簡単に感染させることできるんじゃないですかね

逆に考えると、学内の学習PCを踏み台にすれば簡単に SEI-Net にアクセスできるということだ。

学習PCは、先ほどあげたポータルサイトにも多分にアクセスするはずなのであるが
ここで問題なのが使われているシステムが Apache 2.2.3 / RedHat ということである
ちなみに、 www.saga-ed.jp は Apache/2.2.15 (CentOS)

httpd 2.2 vulnerabilities - The Apache HTTP Server Project
2.2.3は 2006年7月リリース
2.2.15は 2010年3月リリース

後、サポートが切れた Struts 1.x （Sonyなどが大規模な情報流出を引き起こした、数か月に一度大きな脆弱性が増え続けている、Javaのサーバープラットフォーム）を使ってるようなので、Webを改ざんされる恐れがある。
※ 環境省が 2010年に 2.2.3を使っていて改ざんされた実績がある ・ω・

そういえば、県教育庁教育情報化推進室の情報企画監だった韓国人の 廉宗淳氏は
2007年5月に自社サイトを中国のハッカー団体に改ざんされて、カスタマーリストやメンバーリストが漏えいした形跡があるんですが、自サイトでは何のお知らせも出してなかったようなので、不正アクセスの隠ぺいについてはたけていたのかもしれませんね！ ・ω・ ぺろり

Webを改ざんして、iframe などでアンチウィルスに検出できないマルウェアの実行を誘導することができれば、セキュリティホールのある学習PCを乗っ取ることが可能だ。

というわけで、考えられる侵入ルート

0. 校内LANに侵入。（犯人のルート）
1. 校内の学習PCから証明書を持ち出して、インストールする。
2. 校内の学習PCを、学習で利用しそうなサイトに誘導して、Flash や Javaのマルウェアに感染させて乗っ取って直接アクセス。
3. いったんセキュリティ―ホールまみれのポータルサイトのWebサーバーを改ざんして、学習用PCに感染させて乗っ取る。
4. 持ち出した校内の学習PCを乗っ取った後、セキュリティ―ホールまみれのポータルサイトのWebサーバーを改ざんしてネットワークごと乗っ取る

ってのが考えられそうですね。

まぁ、最近導入されたばかりのシステムがここまでボロボロなの初めて見た・ω・

おまけ
佐賀の学習システムのバッチファイルが酷すぎると話題に