学校教育に迫るダークウェブ

成績を改ざんしたり、偽造した卒業証書をダークウェブから入手したりして、優秀な学業成績を不正に手に入れた学生たち。その手口とは?

学校の試験がプランどおりにいかない−誰にでもあることです。うまくいかなかった人のほとんどは気を取り直して、再び試験に臨み、または目標を変更します。しかし、策を弄してうまくやろうと考える学生も、少ないながらいるようです。

そうした衝動につけ込んだアンダーグラウンド業界が、ここ何年かで成長してきました。そこには、教育機関のシステムへ侵入するためのハウツー動画やディスカッションフォーラムもあれば、偽の資格証明書や卒業証書を闇市場で買うこともできます。私たちはこの状況を少しばかり調査し、大学その他の教育機関が自組織と学生を守るために何ができるか考えることにしました。

成績にアクセスする

多くの学校では、学校行事、宿題、成績評価、保護者と教員との連絡などの目的で、Webベースの情報プラットフォームを導入しています。中にはインターネットに対して開かれているものもあり、そういったものの多くは脆弱性を抱えていた過去があります。最も広く利用されているプラットフォームも、例外ではありません。

最も使われている学校情報プラットフォームのひとつに、PowerSchool があります。PowerSchoolは、特別に作成したURLを使うことで管理者フォルダーの中身が見えてしまうという脆弱性(CVE-2007-1044、リンク先は英語)のあることが知られています。この脆弱性からどんな影響が及ぶのかは、Webサーバーの設定とフォルダーの中身によって異なります。

しかし、このような公表済みの脆弱性やエクスプロイトがあるからといって、攻撃者が認証を回避できるわけではありませんし、成績を改ざんしようとする人が探し求めるタイプの情報へアクセスできるレベルに特権を引き上げられるわけでもありません。そうするには、実はもっと簡単な方法があります。認証情報を使うのです。

PowerSchoolのゲートウェイを保護しているのは、他のプラットフォームの多くもそうですが、ユーザー名とパスワードだけです。

2019年3月(英語記事)、学生たちがPowerSchoolに侵入し、成績や出席記録を改ざんしようとした疑いがあると報じられました。アカウント認証情報は複数のサイトで使い回されることが多いため、PowerSchoolのようなポータルのハッキングには、盗まれたアカウント情報、または再利用されたアカウント情報が使用される可能性が大いにあります。こういったアカウント情報の入手経路は、教員がキーボードに貼った付箋からただ写し取るだけのシンプルなものから、学校のネットワークを実際にハッキングする、ネットワークからキーロガーなどで認証情報を収集するなどさまざまです(リンク先はいずれも英語)。また、アンダーグラウンドのハッカーを雇い、代行してもらう学生もいます。

闇市場のハッキングサービスと偽の卒業証書

6月12日の時点でインターネット検索したところ、ハッキングを行うサービスや本物そっくりの偽証明書を扱うWebサイトが簡単に見つかりました。それこそあらゆる研究テーマ、または教育機関の修了証書、卒業証書、学位証明書の偽物が扱われています。手続きは分かりやすくシンプルで、専用の注文フォームが設置されており、連絡先も表示されています。

教育関係のセキュリティを強化する

学業成績の証明を求める大学その他の教育機関、あるいは雇用主からすると、提出された書類の信頼性をどうやって確認すればよいのでしょうか?

修了証書や卒業証書の真偽に関しては、発行元の機関に確認すべきです。当該学生にその資格を取得した記録がなければ、おそらく偽物と考えてよいでしょう。

Webベースの情報システムについては、教職員や学生、そして情報の安全を守る必要がありますが、以下のような基本的対策が役立ちます。

  • 何らかの形の2段階認証を可能な限り導入する。特に学生の記録、成績、評価に関する情報へのアクセスには導入しましょう。また、侵入者がシステム内を簡単に見て回れないように、強力で適切なアクセスコントロールを設定してください。
  • 学校内では、教職員用と学生用の無線ネットワークを別々に用意し、それぞれセキュリティを確保する。ゲスト用に独立したネットワークを別途構築するのもよいでしょう。
  • パスワードに関するポリシーを教職員向けに策定し、どんな場合であっても認証情報を他人に漏らしてはならないということを全員に周知徹底する。
  • さまざまな脅威から包括的に保護できるよう、信頼できるセキュリティ製品を使用する。
ヒント

ホームセキュリティのセキュリティ

最近では様々な企業が、主にカメラなどのスマートなテクノロジーを活用したホームセキュリティサービスを提供しています。しかし、セキュリティシステムは侵入者からの攻撃に対してどの程度セキュアなのでしょうか?