テキサス州司法長官ケン・パクストンは、6,200万人の生徒(うち88万人以上がテキサス州民)の個人情報が流出した2024年12月の大規模なデータ侵害を受けて、教育ソフトウェア企業PowerSchoolを提訴しました。
PowerSchoolはK-12(幼稚園から高校まで)の学校や学区向けのクラウド型ソフトウェアソリューションプロバイダーで、世界中で18,000以上の顧客と6,000万人以上の生徒をサポートしています。
1月、教育ソフト大手のPowerSchoolは、PowerSourceカスタマーサポートポータルが2024年12月19日に侵害されたことを公表しました。これは下請け業者の盗まれた認証情報が使われたものでした。攻撃者は2024年12月28日にビットコインで285万ドルの身代金を要求し、影響を受けた生徒や教職員の氏名、住所、電話番号、パスワード、保護者情報、連絡先、社会保障番号、医療データなどを盗みました。
BleepingComputerが最初に報じたように、2024年12月のPowerSchool侵害の脅威アクターは、アメリカ、カナダ、その他の国の6,505学区から6,240万人の生徒と950万人の教員の個人データを盗んだと主張しました。
「PowerSchoolの失敗は、テキサス州の家族や学区から託された機密情報を保護するための合理的な措置を怠り、セキュリティ対策について顧客を誤解させたことで、テキサス州不正商取引慣行法および個人情報盗難執行・保護法の両方に違反しています」とテキサス州司法長官事務所は述べています。
「ビッグテックが子どものデータを管理して利益を得る一方で、セキュリティをおろそかにしても許されると思っているなら、それは大間違いです。保護者は、子どもを学校に入学させるために提供した情報が盗まれ悪用されることを心配する必要があってはなりません。私の事務所は、テキサスの生徒、教員、家族を危険にさらしたPowerSchoolに責任を取らせるために、できる限りのことをします」とパクストン司法長官は水曜日に付け加えました。
攻撃者が学校を恐喝、罪を認める
当時、顧客と共有されBleepingComputerが確認した非公開FAQで、PowerSchoolはデータが公開されないように身代金を支払い、攻撃者から盗まれたデータが消去されたとする動画を受け取ったことを認めました。
しかし、「ShinyHunters」を名乗る人物が5月初旬から個別に学区を恐喝し、身代金が支払われなければ以前盗んだ生徒や教員のデータを公開すると脅迫し始めました。
ShinyHuntersのリーダーはBleepingComputerに対し、この人物はハッカーグループを偽って名乗るアフィリエイトであり、2024年9月の以前の侵害で盗まれたデータを使ってPowerSchoolを再度恐喝しようとしたと主張しました(CrowdStrikeが確認)。
その後同月、マサチューセッツ州ウースターの19歳の大学生マシュー・D・レーンが、複数の共謀者と共にPowerSchoolへの大規模なサイバー攻撃を主導し、数百万人分の盗まれたデータを漏洩しない見返りに数百万ドルを恐喝しようとしたとして、有罪を認めました。
学校からの通知やDataBreaches.netの報告によると、学区に送られた身代金要求は、ShinyHuntersを名乗るもので、幅広い侵害に関与し、数億人に影響を与えた著名な脅威グループとされています。
3月には、PowerSchoolがCrowdStrikeによる調査結果も公表し、脅威アクターが2024年8月と9月にも同じ認証情報を使ってPowerSourceに侵入していたことが明らかになりました。しかし、サイバーセキュリティ企業は3件すべての侵害が同一犯によるものかどうかの証拠は見つけられませんでした。
2025年9月4日更新:ShinyHuntersアフィリエイトに関する情報を追加。
