佐賀の脆弱な教育システム(SEI-NET)の侵入経路について考察してみた

佐賀の自称最先端システムのまとめ

先日、佐賀市で B-CASの移植コードを公開した無職少年が逮捕されましたが、その押収したPCから数万人の小中学生の成績データなどが出てきて、SEI-Netへの不正アクセスが判明したそうです。

これまでも、最低5回の不正アクセスが警察から寄せられており、すべて責任者がその情報を握りつぶしたのではないかと言われています。

つまり、B-CASの事件がなかったら、今も不正アクセスの実態が分からなかった可能性があります。
でも、これで終わったわけではありません。

何しろ、佐賀教育委員会の、対策が、管理パスワードの変更などしか行っていないのですから。

今も不正アクセスが行われており、それに気づいていない可能性があります。

というわけで、逮捕された少年が行った学内LANの侵入以外にどういった不正侵入のルートがあるのか考察してみることにします。

しかし、MACアドレスとか、偽装できるのになんでEAP-TLSとかで認証するようにしなかったんでしょうかね ・ω・


先導的教育システム実証事業に係る佐賀県の取組 - 総務省
saga
これ見るとわかるけど、専用回線になっている。ただし、フィルタリングによって
インターネットからのアクセスも可能になっている。

IP Address Server Since
61.7.16.225 portal4.saga-ed.jp _ 2015-11-14
61.7.16.226 ca2.saga-ed.jp _ 2015-11-14
61.7.16.227 portal2.saga-ed.jp _ 2015-11-14
61.7.16.230 portal5.saga-ed.jp _ 2015-11-14
61.7.16.231 activemail.saga-ed.jp _ 2015-11-14
61.7.16.232 cms.saga-ed.jp Apache 2016-01-25
61.7.16.235 pps1.saga-ed.jp _ 2015-11-14
61.7.16.236 vod.saga-ed.jp _ 2015-11-14
61.7.16.237 pps2.saga-ed.jp _ 2015-11-14
61.7.16.238 k2.saga-ed.jp _ 2015-12-02
61.7.16.239 k2mail.saga-ed.jp _ 2015-11-14
61.7.16.243 mail.saga-ed.jp Apache/2.2.3(RedHat) 2015-11-14
61.7.16.244 juno.saga-ed.jp Apache 2015-11-14
61.7.16.244 www2.saga-ed.jp Apache 2016-01-25
61.7.16.245 apollo.saga-ed.jp Apache 2015-11-14
61.7.16.245 www3.saga-ed.jp Apache 2016-01-25
61.7.16.250 ca4.saga-ed.jp _ 2015-11-14

サーバーはこんな感じになっている。これを踏まえたうえで次の議事録に注目

議事概要 - 佐賀県

【野中委員】
SEI-Net は、証明書をインストールしていない自宅のパソコンでは見られな
。授業のことを自宅で計画したい時などがあるが、できないし、土日に見
たりもできない。教育センターのシステムは自宅でも利用可能だった。学校
の中だけで、授業を考えるのではなく、自宅でも利用したいと考える。
【福田副教育長】
SEI-Net は、学校外でも利用可能としたかったが、情報ポリシーの関係で難
しかった。なお、学習用PCの持ち出しを認めるようにしたので、それであ
る程度対応できると考える。あまり言いすぎると、家での仕事を強要するこ
ととなり、言い方は難しい。

おいおい、もしかして、証明書エクスポートして、別のPCに入れたら、学外でも見れるんじゃね?・ω・
あと、学習用PCだけど、Javaと Flash Player 入ってるのにアップデートできないようになってるから、3年分の脆弱性持ってるって聞いたんだけど、LAN外部に持ち出してインターネット閲覧したら簡単に感染させることできるんじゃないですかね

逆に考えると、学内の学習PCを踏み台にすれば簡単に SEI-Net にアクセスできるということだ。

学習PCは、先ほどあげたポータルサイトにも多分にアクセスするはずなのであるが
ここで問題なのが使われているシステムが Apache 2.2.3 / RedHat ということである
ちなみに、 www.saga-ed.jp は Apache/2.2.15 (CentOS)

httpd 2.2 vulnerabilities - The Apache HTTP Server Project
2.2.3は 2006年7月リリース
2.2.15は 2010年3月リリース

後、サポートが切れた Struts 1.x (Sonyなどが大規模な情報流出を引き起こした、数か月に一度大きな脆弱性が増え続けている、Javaのサーバープラットフォーム)を使ってるようなので、Webを改ざんされる恐れがある。
※ 環境省が 2010年に 2.2.3を使っていて改ざんされた実績がある ・ω・

そういえば、県教育庁教育情報化推進室の情報企画監だった韓国人の 廉宗淳氏は
2007年5月に自社サイトを中国のハッカー団体に改ざんされて、カスタマーリストやメンバーリストが漏えいした形跡があるんですが、自サイトでは何のお知らせも出してなかったようなので、不正アクセスの隠ぺいについてはたけていたのかもしれませんね! ・ω・ ぺろり

Webを改ざんして、iframe などでアンチウィルスに検出できないマルウェアの実行を誘導することができれば、セキュリティホールのある学習PCを乗っ取ることが可能だ。

というわけで、考えられる侵入ルート

0. 校内LANに侵入。(犯人のルート)
1. 校内の学習PCから証明書を持ち出して、インストールする。
2. 校内の学習PCを、学習で利用しそうなサイトに誘導して、Flash や Javaのマルウェアに感染させて乗っ取って直接アクセス。
3. いったんセキュリティ―ホールまみれのポータルサイトのWebサーバーを改ざんして、学習用PCに感染させて乗っ取る。
4. 持ち出した校内の学習PCを乗っ取った後、セキュリティ―ホールまみれのポータルサイトのWebサーバーを改ざんしてネットワークごと乗っ取る

ってのが考えられそうですね。

まぁ、最近導入されたばかりのシステムがここまでボロボロなの初めて見た・ω・

おまけ
佐賀の学習システムのバッチファイルが酷すぎると話題に

おすすめ

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です