概要:19歳のハッカーに厳罰
2024年12月に教育ソフトウェアプロバイダーであるPowerSchoolに対してサイバー攻撃を仕掛け、大規模なデータ侵害を引き起こしたとして、マサチューセッツ州ウースター出身の19歳の大学生、マシュー・D・レーンが懲役4年の判決を受けました。彼はまた、1400万ドルの賠償金と2万5千ドルの罰金の支払いを命じられています。
レーンは2025年5月に、保護されたコンピューターへの不正アクセス、サイバー恐喝共謀、サイバー恐喝、および加重個人情報窃盗の4つの連邦罪で有罪を認めていました。PowerSchoolは、世界中で18,000以上の顧客と6,000万人以上の生徒をサポートするK-12教育機関向けのクラウドベースのソフトウェアソリューションを提供しています。
攻撃の詳細と盗まれたデータ
司法省によると、レーンとその共犯者は、下請け業者から盗んだ認証情報を使用して、2024年12月19日にPowerSchoolのPowerSource顧客サポートポータルに侵入しました。その後、メンテナンスツールを悪用し、世界中の6,505の学区から950万人の教師と6240万人の生徒の個人情報を含む学校データベースをダウンロードしました。
盗まれた機密データには、生徒と教職員の氏名、住所、電話番号、パスワード、保護者情報、連絡先詳細、社会保障番号、医療データなど、広範囲にわたる個人情報が含まれていました。
恐喝と身代金要求
データ窃盗後、攻撃者らは2024年12月28日に285万ドル相当のビットコインでの身代金を要求しました。彼らは、2022年のAT&Tデータ侵害やSnowFlakeデータ窃盗攻撃など、数々の侵害に関与した悪名高い脅威グループである「Shiny Hunters」を名乗っていました。
PowerSchoolはデータ漏洩を防ぐために身代金を支払いましたが、その金額は明らかにされていません。しかし、身代金が支払われたにもかかわらず、レーンと共犯者らは、生徒データの漏洩を防ぐために、個々の影響を受けた学区に対して追加の身代金を支払うよう恐喝を試みました。
過去の侵害と法的措置
2025年3月、PowerSchoolは、脅威アクターが2024年8月と9月にも同じ侵害された認証情報を使用してPowerSourceに侵入していたことを明らかにしました。しかし、CrowdStrikeによる調査では、これら3つの侵害すべてを同じ攻撃者に結びつける証拠は見つかりませんでした。
先月、テキサス州司法長官ケン・パクストンは、テキサス州の家族や学区のデータを保護できなかったこと、およびセキュリティ対策について顧客を誤解させたとして、PowerSchoolを提訴しました。この事件は、教育機関におけるデータセキュリティの重要性と、サプライチェーン攻撃のリスクを改めて浮き彫りにしています。