学校のネットワークに侵入できたら、無線ルータをプレゼント――ITセキュリティ担当者が打ち出した“奇策”に全米のハッカーがこぞって“参加”
まずはコンテストが開催されるに至った背景を説明しよう。LaRocca氏はフロリダ州パームビーチ郡学区で、6万台のコンピュータ(175校ぶん)が接続するネットワークを管理している。ミシシッピ川以東の学区で、これほど大規模ネットワークを運用している地区はない。
かねてから米国の公立学校では、コンピュータ・セキュリティ対策は後回しにされることが多かった。しかしパームビーチ郡の公立学校のコンピュータ・セキュリティ対策は、“ある事件”がきっかけで全米の中でも最先端といわれるまでになった。
その事件とは、同学区の学校に通う生徒、ジェフ・ヨーストン(Jeff Yorston)君のハッキングである。
地元紙の報道によると、Yorston君は2年前、管理者用パスワードを入手して学校のシステムに侵入し、自分のフランス語の成績を「A」に改竄したり、数人の友達の成績を“上方修正”したりしたという。
この問題が発覚したのは、ある女子生徒の告発だった。彼女は自分より成績の悪い元ボーイフレンドが、自分が許可されなかったフロリダ大学への入学を許可されたと学校側に抗議、学校側が調査したところYorston君の行為が発覚した。
関係者によると、Yorston君の不正侵入はハッキングによるものではなく、管理者用パスワードを不正利用したためだったという。
「管理者の1人があるプロジェクトに取り組んでいた生徒に、自分のパスワードを教えてしまった。パスワードを共有していると、パスワードが部外者に漏洩する事件がしばしば発生する。システム管理に100万ドルをつぎ込んでも、わたしが自分のパスワードをだれかに教えてしまえば、システムにつぎ込んだ投資はすべて水の泡だ」(LaRocca氏)
LaRocca氏は現在、2年前の成績改竄事件を「パームビーチ郡システムへの警鐘」と位置づけ、セキュリティを最優先課題として取り組んでいる。
実際、パームビーチ郡は過去2年間に150万ドルのIT予算を計上し、学区内のITシステムの改修に注力してきた。同郡内で利用されるPCやサーバには、McAfeeのウイルス対策ソフトウェアやネットワーク・アクセス制御ソフトウェアを導入し、堅牢なシステムを構築してきた。
こうした取り組みを行う一方、LaRocca氏はハッカーの挑戦を受けることにした。同氏は2007年4月、同郡で学生向けに開催したセキュリティに関するイベントにおいて、ハッキングを“歓迎”するサーバの設置を発表し、同サーバに侵入した人物には、賞品として無線ルータを進呈する計画を明らかにした。
最もコンテストに乗じて学校のシステムを乗っ取り、成績を改竄したあげく無線ルータをもらおうとする挑戦者は思い直したほうがよいだろう。LaRocca氏は、「挑戦者が意図的にハッキングするためのサーバは、ハニーポットである。学区内のシステムに侵入し、成績を改竄することは犯罪だ。賞品を与えるつもりはない」とコメントしている。
ちなみに今回のコンテストは全米に報じられたこともあり、同郡の学校は1日に約1万6,000回もの攻撃を受けているという。しかしLaRocca氏は、もっとも警戒すべきは内部者であるとしている。
「警戒すべきハッカーは、ネットワークの内側にいるハッカーだ。外部から攻撃を仕掛けるハッカーについては、あまり心配していない」(LaRocca氏)
(Robert McMillan/IDG News Service サンフランシスコ支局)
提供:Computerworld.jp
