今では当たり前のようにオンライン学習やハイブリッド授業が行われています。多くの学校では、今後もこのような変化に対応するため、遠隔地から生徒の学習をサポートするソフトウェアを新たに採用しています。
Netop Vision Proは、オンライン授業を支援する監視システムです。教師が生徒のコンピュータに対して、デバイスのロック、Webアクセスのブロック、デスクトップの遠隔操作、アプリケーションの実行、ドキュメントの共有などのタスクを遠隔で実行することができます。しかし、 McAfee Advanced Threat Research (ATR)チームは最近、Netop Vision Proに複数の脆弱性を発見しました。ハッカーがこの脆弱性を悪用すれば、生徒のコンピュータが完全に制御できることがわかりました。
ここでは、これらの脆弱性について説明し、オンライン授業を安全に行う方法をご紹介します。
目次
Netop Vision Proの脆弱性を発見
当社の研究者は、学校の科学プロジェクトのように、潜在的なソフトウェアのバグに関する仮説を検証するためのシミュレーションを作成しました。McAfee ATRチームは、Netopソフトウェアを設定し、ローカルネットワーク上に4台のデバイスがある仮想教室を用意しました。3台を生徒、1台を教師として設定した際、チームは、生徒のプロファイルと教師のプロファイルの間に異なる権限レベルがあることに気づきました。そして、ハッカーがより多くの損害を与える方法として、生徒のプロファイルをターゲットにした場合に何が起こるか調査しました。準備が整ったところで、研究者がサイバー犯罪者の視点に立って実験を開始しました。
ATRチームは、仮想教室を観察しているうちに、Windowsの認証情報などの機密を含むすべてのネットワークトラフィックが暗号化されておらず、設定時に暗号化をオンにするオプションもないことを発見しました。また、教室に接続した生徒が、知らず知らずのうちに教師にスクリーンショットを送信していることにも気がつきました。
さらにATRチームは、教師が生徒にネットワークパケット(データを分割した小さな塊)を送信し、教室への接続を促していることにも気づきました。この情報をもとに、コードを修正することで、教師になりすますことができました。その後、ハッカーがどのようにして不正な接続を利用するかを検討しました。
教師が生徒のマシンをスクリーンショットで確認
McAfee ATRチームは、Netop Vision Proのチャット機能に注目しました。この機能では、教師が生徒のコンピュータにメッセージやファイルを送信したり、ファイルを削除したりすることができます。教師が送信したファイルは「ワークディレクトリ」に保存され、生徒はインスタントメッセージ(IM)ウィンドウから開くことができます。また、チームが発見した通りハッカーが教師になりすますことができるとすると、この機能を使用して既存のファイルを上書きしたり、無防備な生徒に悪意のあるファイルをクリックさせたりすることも可能であることがわかりました。
Netop Vision Proの脆弱性がもたらす危険性
もちろん、子どもたちが勉強に集中できるようにするためには、遠隔教育用のソフトウェアは現在欠かせないものです。しかし、生徒のプライバシーを守るためには、これらのプラットフォームについての知識を深めることが重要です。Netop Vision Proによる生徒の画面共有は、仮想教室に生徒がきちんと参加することにつながる有効なオプションのように思えるかもしれませんが、ハッカーが生徒のデバイスにあるコンテンツをのぞく可能性があります。この機能により、教師は生徒をリアルタイムで監視することができる一方で、生徒のプライバシーを危険にさらすことになります。
ハッカーが改変したコードで教師になりすますことができれば、マルウェアやフィッシングリンクを含む悪意のあるファイルを生徒のコンピュータに送信することも可能です。また、Netop Vision Pro の生徒プロフィールには、ネットワークのログイン状況も数秒ごとに表示されています。これにより、攻撃者が学校のシステム全体に攻撃を拡大できるようする可能性があります。
最終的に、ハッカーが脆弱性のあるソフトウェアを使用しているすべてのターゲットとなるシステムを完全に制御できるようになった場合、仮想空間から物理的な環境までも攻撃することが可能になります。ハッカーは、対象となるシステム上でWebカメラとマイクを有効にして、お子さんやその周囲の環境を物理的に観察する可能性があります。
発見された脆弱性に対する当社の対応
当社では、発見したすべての脆弱性をNetop社に報告し、その後すぐに同社から回答を得ました。最新のソフトウェアリリース 9.7.2では、McAfee ATRチームが発見した問題の多くに対応しています。生徒のマシンを制御するためのシステムファイルを上書きできなくなりました。また、Windowsの認証情報は、ネットワーク経由で送信される際に暗号化されるようになりました。また、Netopは将来のアップデートで完全なネットワーク暗号化を実装する計画があることをMcAfeeに伝えました。これにより、攻撃者が生徒の画面を簡単に監視できなくなり、教師になりすますことを防ぐことができます。
Netop社はこれらの問題を解決するために社内で取り組んでいますが、仮想授業で子どもたちを保護し、力を与えるために、保護者ができる重要なステップがいくつかあります。安心してサードパーティの教育プラットフォームを利用しながら、家族に安心をもたらすための4つのヒントをお伝えします。
安全に利用するための4つのヒント
1.オンライン授業専用端末の使用
Netop Vision Proをはじめとするサードパーティのソフトウェアを使用する場合は、オンライン授業専用の端末で使用するようにしてください。万が一、ソフトウェアにバグがあった場合でも、オンラインバンキング、メール、リモートワークなどで使用している他の重要なアカウントが、ソフトウェアの脆弱性によってリスクにさらされることを未然に防ぎます。
2.包括的なセキュリティソフトの使用
Netop Vision Proは、インターネットへの接続や、学校のネットワーク外での使用を想定されていません。ハッカーの目線で見てみましょう。ハッカーは、悪意のあるペイロード(被害をもたらすサイバー攻撃の一部)を配信したり、フィッシングを試みたりすることで、これらの脆弱性を利用します。このようなサイバー攻撃から生徒を守るために、マカフィー®トータルプロテクションのような包括的なセキュリティソリューションを活用してください。家族全員を最新の脅威やマルウェアから守り、安全なWebブラウジングを実現します。
3.学校とのコミュニケーション
教育者は生徒の利益と安全を第一に考えています。生徒がオンライン授業で使用しているソフトウェアについて懸念がある場合は、担任の教師や校長に相談しましょう。生徒がNetopを使用する場合は、教師や校長が上記の脆弱性を認識していることを確認し、お子さんやクラスメートの安全を守るため、必要なソフトウェアの更新を行うようにしてください。
4.Webカメラのカバーの使用
ハッカーに自分や家族の情報を盗み見られないようにするには、授業が行われていないときにWebカメラのカバーを使うのが簡単で効果的な方法です。カメラを使わないときはカバーをかぶせるように生徒に指示しておくと、安心して授業を受けることができます。
最新情報を入手
日々のニュースからの情報収集は重要です。またデジタルの安全性を維持するための情報やマカフィー製品に関する最新情報、および最新の消費者向けおよびモバイルセキュリティの脅威に関する最新情報を入手するには、Twitterで@McAfee_Home(US)または@McAfee_JP_Sec(日本)をフォローし、ポッドキャストHackableをお聞きください。
※本ページの内容は2021年3月21日(US時間)更新の以下のMcAfee Blogの内容です。
原文:Keep Remote Classes Safe and in Session: What You Need to Know About Netop Vision Pro
著者:Judith Bitterli