事件の概要
2024年12月に教育ソフトウェア大手PowerSchoolに対するサイバー攻撃を主導し、大規模なデータ漏洩を引き起こしたとして、マサチューセッツ州ウースター出身の19歳の大学生、マシュー・D・レーンが懲役4年の判決を受けました。PowerSchoolは、世界中のK-12学校および学区にクラウドベースのソフトウェアソリューションを提供する企業で、18,000以上の顧客と6,000万人以上の生徒をサポートしています。
判決の詳細
裁判所の文書によると、U.S.地方裁判所のマーガレット・R・グズマン判事は火曜日、レーンに対し懲役4年の判決を下し、さらに1,400万ドルの賠償金と25,000ドルの罰金の支払いを命じました。レーンは2025年5月に、保護されたコンピューターへの不正アクセス、サイバー恐喝共謀、サイバー恐喝、および加重個人情報窃盗の4つの連邦罪で有罪を認めていました。
サイバー攻撃の手口と被害
司法省によると、レーンとその共犯者は、下請け業者から盗んだ認証情報を使用して、2024年12月19日にPowerSchoolのPowerSource顧客サポートポータルに侵入しました。その後、メンテナンスツールを悪用し、世界中の6,505の学区から950万人の教師と6,240万人の生徒の個人情報を含む学校データベースをダウンロードしました。
盗まれた機密データには、生徒と教職員の氏名、住所、電話番号、パスワード、保護者情報、連絡先、社会保障番号、医療データなど、広範囲にわたる情報が含まれていました。
身代金要求とその後
データ窃盗後、彼らは12月28日に285万ドル相当のビットコインを要求する身代金要求書を送付しました。これらの要求書は、2022年のAT&Tデータ漏洩(1億900万人)、SnowFlakeデータ窃盗攻撃、Salesforceへの一連の侵害など、多くの侵害に関与した悪名高い脅威グループ「Shiny Hunters」からのものであると主張していました。
PowerSchoolはデータ漏洩を防ぐために身代金を支払いましたが、その金額は明らかにされていません。しかし、レーンと共犯者は、身代金を受け取ったにもかかわらず、個別に影響を受けた学区に対し、生徒データの漏洩を防ぐために追加の身代金を支払うよう恐喝を試みました。
2024年8月と9月にも、同じ侵害された認証情報を使用してPowerSourceが以前に侵害されていたことが、PowerSchoolによって3月に明らかにされました。しかし、CrowdStrikeによる調査では、これら3つの侵害すべてを同じ攻撃者に結びつける証拠は見つかりませんでした。
PowerSchoolへの法的措置
先月、テキサス州司法長官のケン・パクストンは、テキサス州の家族や学区のデータを保護できなかったこと、およびセキュリティ対策について顧客を誤解させたとして、PowerSchoolを提訴しました。