100万人の学生データが丸見え状態に - 教育アプリの脆弱性が露呈 | テック

米国の学校入学申請サイト「Ravenna Hub」で重大なセキュリティ欠陥が発覚。子どもの個人情報が他のユーザーから丸見え状態になっていた事件から見える、教育現場のサイバーセキュリティ課題とは。

163万件以上の学生記録が、たった数字を変えるだけで誰でも閲覧できる状態になっていた。米国の学校入学申請サイトRavenna Hubで発覚したこのセキュリティ欠陥は、現代の教育現場が直面するデジタル化のリスクを浮き彫りにしている。

何が起きたのか

VentureEd Solutionsが運営するRavenna Hubは、全米数千校の入学申請を処理する大手プラットフォームだ。同社によると、100万人以上の学生にサービスを提供し、年間数十万件の申請を処理している。

しかし、このサイトには致命的な欠陥があった。ログインした任意のユーザーが、URLの学生番号を変更するだけで、他の学生の個人情報にアクセスできてしまうのだ。露出した情報には、子どもの氏名、生年月日、住所、写真、在籍校情報のほか、保護者の連絡先や兄弟姉妹の情報まで含まれていた。

TechCrunchが水曜日にこの脆弱性を発見し、同社に報告。VentureEdのニック・レアードCEOは同日中に修正を完了したと発表したが、ユーザーへの通知や不正アクセスの有無についての調査結果は明かしていない。

この事件は「IDOR（Insecure Direct Object Reference）」と呼ばれる、比較的基本的なセキュリティ欠陥によるものだった。学生番号が連番で管理されていたため、数字を1つずつ変更するだけで、他の学生の情報が次々と閲覧できてしまう状況だった。

問題の深刻さは、この脆弱性の「単純さ」にある。高度なハッキング技術は不要で、一般的なWebブラウザがあれば誰でも実行可能だった。それにも関わらず、100万人規模のプラットフォームで見落とされていたのだ。

日本でも、GIGAスクール構想により教育現場のデジタル化が急速に進んでいる。しかし、セキュリティ対策は追いついているだろうか。文部科学省の調査では、自治体の教育委員会の約3割がサイバーセキュリティ対策を「不十分」と回答している。

保護者にとって、この事件は複雑な感情を呼び起こす。一方で、デジタル化による利便性は否定できない。Ravenna Hubのようなプラットフォームがあれば、複数校への申請手続きが大幅に簡素化される。

しかし、その代償として子どもの個人情報が危険にさらされるとなれば話は別だ。特に日本の保護者は、個人情報の取り扱いに敏感な傾向がある。学校側も、保護者の信頼を失うリスクと、デジタル化による効率化のメリットの間で判断を迫られている。

興味深いのは、VentureEd Solutionsにおいて「誰がサイバーセキュリティを監督しているのか不明」だという点だ。これは、教育テクノロジー分野における規制の曖昧さを象徴している。

日本では個人情報保護法や教育情報セキュリティポリシーガイドラインが存在するが、民間の教育サービスに対する監督体制は完全とは言えない。特に、海外のプラットフォームを利用する場合、どの国の法律が適用され、誰が責任を負うのかが不透明になりがちだ。