元学区職員、前職への不正アクセスで禁固刑

アイオワ州の学区で元IT職員として勤務していた男が、前職の雇用主に対して長期にわたるサイバー攻撃を行い、授業運営を妨害し、アカウントを削除し、数万ドルに上る損害を引き起こした罪で禁固21か月の刑を言い渡されました。

裁判所の文書によると、イゼキエル・ディーン・ポッター被告（34歳）は、2022年5月から2023年4月まで、デモイン市のセイデル・コミュニティ・スクール・ディストリクトでITサポートの上級スペシャリストとして勤務していました。

検察側は、退職後もポッター被告がアクセス認証情報を保持し続け、その後21か月にわたって繰り返し同学区のシステムを標的にしたと主張しています。

「被告は1年半以上にわたり、セイデル・コミュニティ・スクール・ディストリクトにとって疫病神のような存在でした」と、米国政府は量刑意見書の中で述べています。

「学区のFacebookページを削除し、教職員から教育プラットフォームや各種アカウントへのアクセス権を剥奪し、さまざまなプラットフォームやアカウントのユーザー名・パスワードのリセットを何度も試みました。」

検察側は、一連の攻撃が学区の業務に広範な混乱をもたらし、生徒への教育提供能力を損ない、復旧費用として数万ドルの損害が生じたと述べています。

裁判所の文書によると、攻撃はポッター被告が学区を離れた直後に始まり、セイデルのFacebookアカウントが削除されたことが最初の被害でした。

続いて学区のApple School Managerアカウントが標的となり、ユーザーアカウント、パスワード、電話番号、請求情報、デバイス管理サーバーのデータが削除されたと検察側は説明しています。

これにより、教職員はApple School Managerプラットフォームにアクセスできなくなり、学区のMacBookおよびiPadの管理機能が約1週間にわたって無効化されました。教職員はAppleと連携してアクセスの回復に当たりました。

学区のGoDaddyアカウントやその他のオンラインサービスに対しても、不正アクセスの試みがあったことが確認されています。

裁判所の文書によると、2025年1月にはポッター被告がGoogleの管理者アカウントを通じて学区の学習管理システム「Schoology」にアクセスし、IT職員のアカウントを削除しました。この結果、教師がプラットフォームを利用できなくなり、約2時間にわたって授業に支障が生じました。

その1週間後、別の管理者アカウントを使って現職・元職員9名のGmailアカウントを削除したと検察側は主張しています。削除されたアカウントには、学区のITディレクターや教育長のものも含まれていました。

裁判所の記録によると、ポッター被告はその後、不正アクセスを警告するGoogleセキュリティアラートを受け取ったことから、VPNサービスを利用するようになりました。

連邦捜査官は、一部の不正アクセスをポッター被告の他の勤務先（Casey’s Store Support CenterおよびThe Printer Inc.（TPI））に関連するIPアドレスに遡って追跡することに成功しました。

2025年1月にTPIを退職した後、ポッター被告は元同僚に自分のデスクにあるUSBドライブを回収して消去するよう依頼したと検察側は述べています。

しかし同僚はそのUSBドライブを捜査官に提出し、セイデル・スクール・ディストリクトのアカウントやサービスのユーザー名とパスワードが記載されたスプレッドシートが発見されたとされています。

ポッター被告は2026年1月、司法取引なしでコンピュータ不正使用詐欺法（CFAA）に基づくコンピュータ詐欺の罪について有罪を認めました。

6月11日、ポッター被告は禁固21か月に加え、釈放後3年間の保護観察を命じる判決を受けました。

保護観察の条件として、就労・財務・コンピュータシステムに関する制限と監視が課せられており、相当な理由がある場合には電子機器の捜索も受けることになっています。

また、ポッター被告は攻撃に関連する復旧費用として、セイデル・コミュニティ・スクール・ディストリクトおよびその保険会社であるトラベラーズ・カジュアルティ・アンド・シュアティ・カンパニーに対し、59,668.81ドルの賠償金を支払うことも命じられました。