ビクトリア州の学生向け教育アプリは、子供たちに悪質な人物との接触を許している

アップデートされたGoogleとビクトリア州教育省は、保護者、生徒、教師、そしてオーストラリア情報コミッショナー事務局に、次のような疑問を投げかけています。「どの時点で機能が脆弱性となるのか？」それとも「単に子供たちに見せるには不気味すぎるのか？」

ビクトリア州の教師と生徒は、教育省の EduSTAR システムのポータルを通じてアクセスする Google Apps for Education に基づくシステムを導入しました。

しかし、人々が設定に慣れてくると、親たちは、大人が使用するビジネスツールとしては妥当だが、小学生が使うには場違いに見えるシステムの動作に気づきました。

心配している保護者からVulture Southに報告された 2 つの問題は、一見普通の Google アプリの機能のように見えますが、保護者が心配するのも無理はありません。Google コンタクト経由で教師と生徒の EduSTAR プロフィール約 17 万件に簡単にアクセスできること、Google アカウント (Google ドライブなど) を持つ人なら誰でも、教育とはまったく関係のない「部外者」として生徒に連絡できることなどです。

これらは特徴だが、ある親がThe Register に語ったところによると、学校教育という繊細な環境においては悪用される傾向があるという。

つまり、第一に、正当な EduSTAR ログインを悪用しようとする人物が、すべてのプロフィールを簡単にスクレイピングできるということです。第二に、それらのプロフィールにより、悪意のある部外者が学生を特定し、他の Google 機能を悪用して、（たとえば）Google ドキュメントの共同編集を通じて学生とチャットしたり、学生を誘惑したりできるということです。

プロフィール

The Registerに連絡を取った心配する保護者は、EduSTAR の Google 連絡先データベースのページ数 (約 700) とページあたりのエントリ数を掛け合わせるだけで、170,000 件のプロフィールという推定値に到達しました。

プロフィール フィールドには、名前、ニックネーム、役職、会社名^*、「ファイル形式」フィールド、メモ、電子メール、電話番号、住所、誕生日、URL、「関係」、インスタント メッセージの連絡先、インターネット通話の連絡先が含まれます。

保護者によると、小学生は電子メールが使えないそうです。

誰が実装の責任者であろうと、The Register は、システム全体に公開されたディレクトリは事実上悪い考えであり、おそらくプライバシーの侵害になるだろうと議論の余地があると感じています。誰も自分の子供がどの学校に通っているかを知ることはできないはずです。

私たちはオーストラリア情報コミッショナー事務局（OAIC）にこの件について意見を求めたところ、同事務局が調査中であると回答された。

World+Dogで連絡可能な子供たち

保護者がVulture Southに指摘した 2 つ目の、より深刻な問題は、これらのプロフィールのいずれも、Google アカウントを持つ他の人から連絡を受けることができるということだ。つまり、EduSTAR アカウントとの連絡は、EduSTAR にログインした人だけに限定されない。

保護者の方から、例として以下の画像をご提供いただきました。これは、Google ドライブで共有された画像の中で、保護者（EduSTAR アカウントをお持ちでない方）とお子様（EduSTAR アカウントをお持ちの方）の間でやり取りされたものです。このやり取りは、EduSTAR と Google の共同作業機能によって実現されています。

親は、このようなチャットは部外者による誘い込みの機会を与えるのではないかと懸念している。最も容易なのは、誰かが Google コンタクトのプロフィールをスクレイピングして共有した場合だ。そうすれば、悪意のある者がアプローチを狙うことができるからだ。

保護者は次のようにコメントした。「実質的に、[Google ドキュメント] は低品質のインスタント メッセージング アプリであり、7 歳の子供に一方的に、フラグも付けられずに共有されています。」

また、そのような連絡がシステム管理者や保護者に通知される可能性も低いようです。

IDの作成方法を知っている部外者が、学生に強引に回答させようとする可能性も十分にあります。EduSTAR IDは定型的なので、それほど力は必要ありません。

私たちは、OAIC への問い合わせにこのシステムの側面を含めました。

親が指摘したように、他の攻撃ベクトルも存在します。

アカウント ID がフィッシング キャンペーンの一部になることは容易に想像できます。たとえば、学生や教師に、悪意のあるリンクが含まれている「公式に見える」ドキュメントを開かせるといったことが考えられます。

たとえ悪意のある部外者が EduSTAR にアクセスしていなかったとしても、無関係のプライバシー侵害によって学生の個人情報が漏洩する可能性があります。教育アプリケーションである Mathletics は、2016 年にクライアント側のセキュリティが脆弱であると批判され、その後、その競争のリーダーボードに個々の学生を特定するのに十分な情報 (名、姓の頭文字、学校名) が含まれているように思われたことで批判されました。

「個人を特定できる情報を含む、2件の比較的無害な漏洩が組み合わさることで、はるかに大きな小児性愛者リスクが生まれます。犯罪者は、子供が学校でどこにいるか、写真や名前が分かっており、Googleドライブ経由でインスタントメッセージを送信できるのです」と保護者は私たちに語った。

これらは機能ではありませんか?

Vulture South はこの記事を公開するかどうか検討しました。結局のところ、Google 連絡先へのアクセスや、ドライブやドキュメントでの共有はG Suite の機能だからです。

私たちの担当者は、これらの機能は、勤務先が G Suite を使用しているため、または自分自身でこれらの機能を利用したいために G Suite にログインする成人に適している可能性があると主張しました。

しかし、子供は大人と同じように同意することができません。そのため、学校生徒向けのアプリケーションスイートは、対象とするユーザーの特定の要件に合わせて構築する必要があります。生徒は、一般的なクリックして同意するだけのプライバシーと安全性以上のものを必要としており、それを得る権利があります。

レジスター紙は、保護者の懸念をビクトリア州教育省に伝えました。教育省からの明確な回答はまだ得られていません。

Googleにもコメントを求めました。®

追加更新

ビクトリア州教育省は広報担当者を通じて以下の回答を示した。

「当省は、学生情報を保管する主要システムに対してプライバシー影響評価を実施しており、このシステムについても評価を実施しました。

Google Appsは、生徒が自分の学校内または他校の生徒を見つけて連絡を取ることができるコラボレーションツールです。そのため、ディレクトリ機能はGoogle Appsの既知の機能であり、管理されています。

「保護者には、Google Apps に関するプライバシー情報が提供されます。この情報には、ツールの説明、収集される情報の種類と理由、オプトアウトのプロセスが記載されています。

「生徒はシステムを使用する際に監督を受け、デジタル市民権についての教育も受け、懸念事項があれば報告するよう奨励されます。

「当省は、学生情報を保管する主要システムに対してプライバシー影響評価を実施しており、このシステムについても評価を実施しました。」

フォローアップの電子メールで、国務省は以下の懸念を概説しました。

^*教師と生徒の連絡先データベースに「役職と会社名」がなぜ登録されているのでしょうか？教育省、Google、あるいはその両方が、デフォルト設定を変更せずにGoogle Appsを学校に導入した可能性はありますか？