導入:大規模データ侵害の責任
2024年12月に教育ソフトウェア大手PowerSchoolへのサイバー攻撃を主導し、大規模なデータ侵害を引き起こしたとして、19歳の大学生マシュー・D・レーンが懲役4年の判決を言い渡されました。この事件は、教育機関のデータセキュリティの脆弱性と、サイバー犯罪の深刻な結果を浮き彫りにしています。
事件の概要と判決
マサチューセッツ州ウースター出身のレーンは、2025年5月に以下の4つの連邦罪で有罪を認めました。
- 保護されたコンピューターへの不正アクセス
- サイバー恐喝共謀
- サイバー恐喝
- 加重個人情報窃盗
米国地方裁判所のマーガレット・R・グズマン判事は、レーンに対し懲役4年、1,400万ドルの賠償金、そして25,000ドルの罰金を命じました。PowerSchoolは、世界中のK-12学校および学区にクラウドベースのソフトウェアソリューションを提供する企業であり、18,000以上の顧客と6,000万人以上の学生をサポートしています。
攻撃の手口とデータ侵害の詳細
レーンとその共犯者たちは、下請け業者から盗んだ認証情報を使用して、2024年12月19日にPowerSchoolの顧客サポートポータル「PowerSource」に侵入しました。その後、メンテナンスツールを悪用して、世界中の6,505の学区から950万人の教員と6,240万人の学生の個人情報を含む学校データベースをダウンロードしました。
盗まれたデータには、以下の広範な機密情報が含まれていました。
- 氏名
- 住所
- 電話番号
- パスワード
- 保護者情報
- 連絡先詳細
- 社会保障番号
- 医療データ
恐喝と身代金要求
データ窃盗後、攻撃者たちは2024年12月28日に285万ドル相当のビットコインを要求する身代金要求書を送付しました。この要求書は、2022年のAT&Tデータ侵害やSnowFlakeデータ窃盗攻撃など、数々の侵害に関与してきた悪名高い脅威グループ「Shiny Hunters」を名乗っていました。PowerSchoolはデータ漏洩を防ぐために身代金を支払いましたが、その金額は明らかにされていません。しかし、レーンとその共犯者たちは、身代金支払い後も個別の学区に対し、学生データの漏洩を防ぐために追加の身代金を支払うよう恐喝を試みました。
PowerSchoolの過去の侵害と法的措置
PowerSchoolは、2024年8月と9月にも同じくPowerSourceが侵害されていたことを3月に明らかにしました。これらの侵害も同じく侵害された認証情報が使用されていましたが、CrowdStrikeによる調査では、これら3つの侵害すべてに同じ攻撃者が関与したという証拠は見つかりませんでした。
先月、テキサス州司法長官のケン・パクストンは、テキサス州の家族や学区のデータを保護できなかったこと、およびセキュリティ慣行について顧客を誤解させたとして、PowerSchoolを提訴しました。
セキュリティの教訓
この事件は、企業がサプライチェーン全体のセキュリティを強化し、顧客データの保護を最優先することの重要性を改めて示しています。特に教育分野では、学生や教員の機密情報が大量に扱われるため、厳格なセキュリティ対策と迅速な対応計画が不可欠です。また、身代金要求に応じたとしても、攻撃者が約束を破り、さらなる恐喝を行う可能性があることも示唆しています。