Los Angeles学校区の配布iPadハックは、簡単だった

List

Follow @BlogFromAmerica

List

- Old Counter

ロスアンジェルス学校区が来年（2014年）末までに同学校区内64万人の小中高生全員にiPadを配布する予定で、最初の300数十台を学校区内３つの高校の高校生に配布したところ、１週間以内にセキュリティー（機能制限）が破られ、私物化されてツイッターやフェイスブックなどのアプリをインストールされてしまった、
Los Angeles学校区の全小中高生徒へ64万台iPad配布計画、1週間で一時中止 – 2013年9月28日

という件で、テクノロジー雑誌CIOのオンライン誌が続報を報じています。
【CIO.com】What’s Behind the iPad Hack at Los Angeles High Schools?　（←　4ページあります） – 2013年10月1日

これによると、生徒が「機能制限」解除が可能なことに気付くのは簡単で、この配布（貸与）iPadにインストールされている「MDM（Mobile　Device　Manager）」アプリをiPadから削除しただけで、「ハック」というよりも、画面を指で２～３回ほどタップするだけで簡単に出来てしまったということです。

本来インストールされていたMDMアプリは、問題のiPadのインターネットアクセスを制御するために、アップル社のプロキシー・サーバー（Apple　Global HTTP Proxy）を経由してネットにアクセスするように設定されていました。このプロキシー・サーバーは、ロスアンジェルス学校区が指定したインターネット・アクセスポリシーによって、どのサイトをアクセス許可するか、また、禁止するかを決めていました。特に、このプロキシーサーバ経由でのアクセスではFacebookやTwitterへのアクセスは禁止されており、YouTubeも教育コンテンツ以外は禁止されています。また、17歳以上向けのアプリやサイトへのアクセスも、フィルターされています。

生徒たちはこのMDMアプリが簡単に削除出来ることを知り、「タップ数回」で削除してしまいました。

削除後はネットアクセスポリシーが無くなり、どのサイトでも無制限にインターネットアクセスできたため、アプリのダウンロードやウェブサイトのアクセスが、無制限に可能になった模様です。

実際にはMDMアプリが削除された直後にシステム管理者はすぐに「自動通報」され、ロスアンジェルス教育委員会はすぐに翌日、「iPadの学校外持ち出しを禁止」したようです。したがって、生徒たちはたった一晩だけ、自分の思うようにiPadが使えたのでしょう。最初に発見した生徒は、おそらくツイッターやテキストメッセージで友人に知らせ、それが雪だるま式にRT（リツィート）されて、じきにほぼ340人の生徒全員に知られたと思われます。（何分ぐらいで何人くらいに知られたか、そのツイート伝達速度が知りたいなぁ。）

また、どうやら、ロスアンジェルス教育委員会はもっとハックしにくいMDMシステムをアップルに開発依頼していたらしいですが、それが始業式までに間に合わなかったようです。ロスアンジェルス教育委員会は専門セキュリティ・システム開発会社にカスタムMDMの開発を委託するオプションもあったようですが、ハードウェアとバンドルでMDMも提供した（と推測されます）アップルに新MDMシステムの提供を期待していたようです。

通常のMDMシステムは企業向けであり、MDMと社内システムへのログインIDとが連携しており、MDMアプリが端末からが削除された場合には、ログインIDを削除または一時停止することで社内情報のセキュリティーが守られます。

しかし、学校のような環境では、アクセス制御の対象が「クローズドの社内システム」ではなく、「オープンなパブリックシステム」であることが、今回のMDMがうまく機能しなかった理由です。

また、企業と違って、義務教育の公立学校のような環境では、使用者がシステム・セキュリティーをハックしたからと言って簡単に首（退学）に出来ません。そもそも、社会人として未熟な生徒たちは「入るな」と言われると「入りたくなる」ものです。

ロスアンジェルス学校区がプロキシーサーバーによるコンテント・フィルタリングをMDMアプリに依存し、アップル構成マネージャーを使っていれば、MDMアプリがiPadから削除されても、そのiPadは必ずApple　Global HTTP Proxy経由するように設定できたはずです。その点は、ロスアンジェルス学校区のシステム配慮の甘さもあったようです。しかし、アップル構成マネージャーも64万台という多数のiPadの（初期導入移行の）構成変更には簡単に対応できなかった、という問題もあります。（たとえば、生徒の教科書の変更や、補助教材の配布。）

いずれにせよ、今回のロスアンジェルス学校区でのiPad騒動は、生徒のハック能力よりも、今後、公立学校の教育の場で大規模にiPadやタブレットを導入する場合の端末管理（MDM）に大きな教訓となったことは、事実です。

幸いだったのは、はじめから64万台を配布せず、まだ3校／300数十台だけだったので、影響が少なかったということです。

――<●>――
関連すると思われる記事:

• Los Angeles学校区の64万台iPad配布計画は入札過程に非難が上がり、再開未定で中止。
• 「生徒全員にiPadを配布」するはずだったLos Angeles学校区が、計画変更：今度はWindowsラップトップとSurface
• Los Angeles学校区の全小中高生徒へ64万台iPad配布計画、1週間で一時中止
• Los Angeles学校区が、2014年末までに64万人の小中高校生全員にiPadを配布
• 海外在住でiPhone/iPad/iPod Touchの日本のアプリを購入する方法 – iOS 11用
• PCのiTunesでiPhone/iPadのバックアップが作れない時の対処法（その2）
• iPad (iPod Touch)を使ってWi-Fi通話（Wi-Fi Calling）を発信する条件と、使い方（方法２）：今度こそ、本当のWi-Fi通話。
• iPad (iPod Touch)を使ってWi-Fi通話（Wi-Fi Calling） Wi-Fiを使ってiPhone経由で通話発信する条件と、使い方。
• PCのiTunesでiPhone/iPadのバックアップが消えた時、作れない時の対処法
• iPhone/iPadにT-Mobile USのSIMを挿入した場合に、APNの手動設定が出来なくなりました。MVNO SIMは、まだ手動APN設定が出来ます。