Infinite Campusのデータ侵害、13万7,000件の学校スタッフアカウントに影響

恐喝グループのShinyHuntersは3月、広く普及しているInfinite CampusのK-12学生情報システムを標的にしたSalesforceデータ窃取攻撃で、13万7,000件以上の学校スタッフアカウントから個人情報を盗み出しました。

Infinite Campusは教育テクノロジー（EdTech）企業であり、全米3,200以上の学区に学生情報システム（SIS）を提供し、46州で1,100万人の学生データを管理しています。

3月に顧客へ侵害を通知した際、Infinite Campusは特定のハッキンググループの関与を明示しませんでしたが、顧客への通知の中で攻撃者を「数百社のSalesforceアカウントを標的にすることで知られるグループの一員」と説明しています。

また同社は影響を受けた顧客に対し、流出データには学校スタッフの氏名・連絡先情報と一般公開情報が含まれているとしつつも、顧客データベースが侵害されたという証拠はないと付け加えました。

「攻撃者が狙ったのはInfinite CampusのSalesforceインスタンスであり、学校スタッフの氏名と連絡先情報が含まれています。その大部分は学校のウェブサイトで一般的に公開されているディレクトリ情報です」と同社は述べています。

Infinite Campusが攻撃の詳細を明らかにしない一方、データ恐喝グループのShinyHuntersはデータリークサイトで侵害への関与を主張し、個人識別情報（PII）を含むSalesforceレコードや内部企業データが収録されているとされる1.2GBのアーカイブファイルを公開しました。

データ侵害通知サービスのHave I Been Pwnedが流出データを分析し、本日、この侵害によって13万7,100件のアカウントのデータが流出したと発表しました。流出した情報には、氏名、メールアドレス、雇用主、役職、電話番号、住所、ユーザー名、サポートチケットなどが含まれています。

「このグループはその後、Infinite Campusから窃取したと主張するデータを公開しました。13万7,000件の固有メールアドレスに加え、氏名、電話番号、住所、サポートチケットが含まれています」とHave I Been Pwnedは述べています。

「Infinite Campusはその後、流出データの大部分が『学校スタッフの氏名と連絡先情報』であり、『その大半は学校のウェブサイトで一般的に公開されているディレクトリ情報』であるとする通知を送付しました。」

Infinite Campusの今回の事件は2024年12月のPowerSchoolハッキングと非常によく似ていますが、PowerSchoolの侵害が6,200万人の学生に影響を与えたことを考えると、その規模は大きく異なります。あの攻撃の実行犯であるマサチューセッツ州出身の19歳の大学生は、2025年5月に有罪を認め、禁固4年の判決を受けています。

ShinyHuntersは過去1年間、多くのSalesforce顧客を標的にしており、Salesforce顧客への攻撃ではSalesloft DriftハッキングおよびSalesforce Auraキャンペーンで数百社に侵入し、15億件以上のレコードを窃取したと主張しています。

さらに最近では、OracleのエンタープライズビジネスソフトウェアスイートであるPeopleSoftのゼロデイ脆弱性を悪用し、100以上の組織からデータを窃取する新たなキャンペーンへの関与も主張しており、その被害組織にはノッティンガム大学も含まれています。