K〜12学年向けの学生情報管理システムとして広く利用されているInfinite Campusで情報漏洩が発生し、約13万7,000人のユーザーの個人情報が流出しました。
本インシデントは2026年3月に発生した恐喝キャンペーンと関連しており、脅威グループ「ShinyHunters」の関与が指摘されています。
この漏洩はHave I Been Pwned(HIBP)に正式に登録されました。今回の事件は、学校区をまたいでスタッフや管理データを扱う教育テクノロジープラットフォームが、引き続き深刻なリスクに晒されていることを示しています。
Infinite Campusの情報漏洩
漏洩情報の開示内容および第三者機関の報告によると、攻撃者は13万7,100件の一意なメールアドレスと、それに紐づく個人識別情報(PII)を含むデータセットを窃取しました。攻撃者はその後「支払わなければデータを公開する」という恐喝を行い、要求が通らなかったとみられるデータを公開しました。
流出したデータセットには、氏名、メールアドレス、電話番号、住所、所属機関名、職種、ユーザー名、および内部サポートチケットの記録が含まれているとされています。
Infinite Campusは通知の中で、流出した情報の大部分は学校スタッフのディレクトリデータであり、機関のウェブサイトなどを通じて一般に公開されているものが多いと説明しています。しかし、構造化されたデータセットや内部サポートのやり取りが含まれていることから、情報の集約リスクや、標的型フィッシングおよびソーシャルエンジニアリング攻撃への悪用が懸念されます。
特に注目すべきはサポートチケットの流出です。これらの記録には、業務上の詳細情報やシステム構成、あるいは認証情報の一部が含まれている可能性があり、後続攻撃の足がかりとなる恐れがあります。
ShinyHuntersは、SaaSプラットフォームや企業サービスを狙った大規模な情報漏洩・恐喝活動で知られる脅威アクターで、近年は集中型ユーザーデータベースを持つ組織への攻撃を強化しています。
同グループの典型的な手口は、侵害された認証情報による初期アクセス、設定ミスのあるクラウドストレージの悪用、あるいは公開APIの不正利用であり、その後データを窃取して恐喝を行います。
Infinite Campusは侵入経路を公式に開示していませんが、流出データの規模と構造から、公開ディレクトリの単純なスクレイピングではなく、バックエンドへの不正アクセスが行われたとみられています。
リスクの観点では、スタッフディレクトリのような「機密性の低い」データであっても、集約されれば高い価値を持ちます。攻撃者はこの情報を、クレデンシャルスタッフィング、ビジネスメール詐欺(BEC)、あるいは学校区やベンダーを狙ったなりすまし攻撃に利用できます。
たとえば、攻撃者はサポートチケットから入手した実名・役職・内部情報を使い、学区のITサポートを装った巧妙なフィッシングメールを作成することで、攻撃の成功率を大幅に高めることが可能です。
今回の漏洩は、教育分野における根深いセキュリティ課題を浮き彫りにしています。教育向けプラットフォームはしばしば、データの最小化やセグメンテーションよりもアクセスのしやすさや連携機能を優先する傾向があります。
Infinite Campusのように、管理業務やコミュニケーションの中枢として機能するシステムは、広範なユーザーベースと相互に連携したデータを持つため、攻撃者にとって魅力的な標的となります。
セキュリティの専門家は、影響を受けたユーザー、特に学校スタッフに対し、フィッシング詐欺に十分な警戒を払い、サービスごとに異なるパスワードを使用するよう呼びかけています。
Infinite Campusを利用する組織は、アクセスログの確認、多要素認証(MFA)の徹底、APIの利用状況の監査、そして公開されているディレクトリ情報を含むデータ露出ポリシーの再評価を行うべきです。
現時点では、Infinite Campusは生徒の学業記録や財務データが侵害された証拠はないとしています。
しかしながら、今回のインシデントは教育テクノロジープロバイダーを狙った一連の情報漏洩にまた一件加わる形となり、業界全体でセキュリティ管理の強化、継続的な監視、そして透明性の高いインシデント対応の実践が一層求められています。
翻訳元: https://gbhackers.com/infinite-campus-breach-leaks-personal-information/
