Los Angeles学校区の配布iPadハックは、簡単だった
ロスアンジェルス学校区が来年(2014年)末までに同学校区内64万人の小中高生全員にiPadを配布する予定で、最初の300数十台を学校区内3つの高校の高校生に配布したところ、1週間以内にセキュリティー(機能制限)が破られ、私物化されてツイッターやフェイスブックなどのアプリをインストールされてしまった、
Los Angeles学校区の全小中高生徒へ64万台iPad配布計画、1週間で一時中止 – 2013年9月28日
という件で、テクノロジー雑誌CIOのオンライン誌が続報を報じています。
【CIO.com】What’s Behind the iPad Hack at Los Angeles High Schools? (← 4ページあります) – 2013年10月1日
これによると、生徒が「機能制限」解除が可能なことに気付くのは簡単で、この配布(貸与)iPadにインストールされている「MDM(Mobile Device Manager)」アプリをiPadから削除しただけで、「ハック」というよりも、画面を指で2~3回ほどタップするだけで簡単に出来てしまったということです。
本来インストールされていたMDMアプリは、問題のiPadのインターネットアクセスを制御するために、アップル社のプロキシー・サーバー(Apple Global HTTP Proxy)を経由してネットにアクセスするように設定されていました。このプロキシー・サーバーは、ロスアンジェルス学校区が指定したインターネット・アクセスポリシーによって、どのサイトをアクセス許可するか、また、禁止するかを決めていました。特に、このプロキシーサーバ経由でのアクセスではFacebookやTwitterへのアクセスは禁止されており、YouTubeも教育コンテンツ以外は禁止されています。また、17歳以上向けのアプリやサイトへのアクセスも、フィルターされています。
生徒たちはこのMDMアプリが簡単に削除出来ることを知り、「タップ数回」で削除してしまいました。
削除後はネットアクセスポリシーが無くなり、どのサイトでも無制限にインターネットアクセスできたため、アプリのダウンロードやウェブサイトのアクセスが、無制限に可能になった模様です。
実際にはMDMアプリが削除された直後にシステム管理者はすぐに「自動通報」され、ロスアンジェルス教育委員会はすぐに翌日、「iPadの学校外持ち出しを禁止」したようです。したがって、生徒たちはたった一晩だけ、自分の思うようにiPadが使えたのでしょう。最初に発見した生徒は、おそらくツイッターやテキストメッセージで友人に知らせ、それが雪だるま式にRT(リツィート)されて、じきにほぼ340人の生徒全員に知られたと思われます。(何分ぐらいで何人くらいに知られたか、そのツイート伝達速度が知りたいなぁ。)
また、どうやら、ロスアンジェルス教育委員会はもっとハックしにくいMDMシステムをアップルに開発依頼していたらしいですが、それが始業式までに間に合わなかったようです。ロスアンジェルス教育委員会は専門セキュリティ・システム開発会社にカスタムMDMの開発を委託するオプションもあったようですが、ハードウェアとバンドルでMDMも提供した(と推測されます)アップルに新MDMシステムの提供を期待していたようです。
通常のMDMシステムは企業向けであり、MDMと社内システムへのログインIDとが連携しており、MDMアプリが端末からが削除された場合には、ログインIDを削除または一時停止することで社内情報のセキュリティーが守られます。
しかし、学校のような環境では、アクセス制御の対象が「クローズドの社内システム」ではなく、「オープンなパブリックシステム」であることが、今回のMDMがうまく機能しなかった理由です。
また、企業と違って、義務教育の公立学校のような環境では、使用者がシステム・セキュリティーをハックしたからと言って簡単に首(退学)に出来ません。そもそも、社会人として未熟な生徒たちは「入るな」と言われると「入りたくなる」ものです。
ロスアンジェルス学校区がプロキシーサーバーによるコンテント・フィルタリングをMDMアプリに依存し、アップル構成マネージャーを使っていれば、MDMアプリがiPadから削除されても、そのiPadは必ずApple Global HTTP Proxy経由するように設定できたはずです。その点は、ロスアンジェルス学校区のシステム配慮の甘さもあったようです。しかし、アップル構成マネージャーも64万台という多数のiPadの(初期導入移行の)構成変更には簡単に対応できなかった、という問題もあります。(たとえば、生徒の教科書の変更や、補助教材の配布。)
いずれにせよ、今回のロスアンジェルス学校区でのiPad騒動は、生徒のハック能力よりも、今後、公立学校の教育の場で大規模にiPadやタブレットを導入する場合の端末管理(MDM)に大きな教訓となったことは、事実です。
幸いだったのは、はじめから64万台を配布せず、まだ3校/300数十台だけだったので、影響が少なかったということです。
「Los Angeles学校区の配布iPadハックは、簡単だった」への2件のフィードバック
コメントは受け付けていません。