K-12向け学生情報システムとして広く利用されているInfinite Campusは、悪名高い脅威アクターグループShinyHuntersが2026年3月に同プラットフォームに対して「支払わなければデータを公開する」という恐喝キャンペーンを実行したことを受け、約13万7,000人のユーザーに影響するデータ侵害を公表しました。
ShinyHuntersは、数多くの大規模なデータ窃取事件に関与してきたことで知られるサイバー犯罪グループです。今回もInfinite Campusを標的に、典型的な恐喝手口を用いたと捜査当局は説明しています。
同グループは、企業が金銭的要求に応じなければ窃取したデータを公開すると脅迫しました。交渉が決裂したとみられると、ShinyHuntersは予告どおり入手したとされるデータセットをオンラインで公開しました。
流出したデータには13万7,000件の固有メールアドレスのほか、幅広い個人識別情報(PII)が含まれており、学校管理者とプラットフォームのサポートチーム間の機密通信が外部に漏れたことへの懸念が直ちに高まりました。
Infinite Campusはその後、影響を受けた個人に対して侵害通知を送付し、流出したレコードの内容について説明しました。
同社によると、侵害されたデータセットは主に「学校スタッフの氏名および連絡先情報」で構成されており、「その大部分は学校のウェブサイトに一般的に掲載されているディレクトリ情報だ」と述べています。
流出したデータの全容は、メールアドレス、氏名、ユーザー名、電話番号、住所、所属先情報、役職、そして社内サポートチケットの内容にまで及びます。
Have I Been Pwndの報告によると、Infinite Campusは一部の流出フィールドの深刻度を過小評価しているとされており、特にサポートチケットのデータが含まれている点は重大な懸念事項です。
サポートチケットには詳細な技術的設定、報告された問題、内部のワークフロー情報などが含まれることが多く、脅威アクターが学校区スタッフへのソーシャルエンジニアリングや標的型フィッシングキャンペーンに悪用するおそれがあります。
同プラットフォームは米国全土の学区において1,200万人以上の生徒と数十万人のスタッフが利用しており、直接流出したレコードが主に学校職員のものであるとしても、侵害の影響は下流に向けて広く及ぶリスクがあります。
流出したスタッフの連絡先情報とサポートチケットのデータが組み合わさることで、学区を狙ったスピアフィッシングやビジネスメール詐欺(BEC)攻撃に向けた現実的な攻撃対象領域が生まれます。
今回の事件は、ランサムウェアおよび恐喝グループが教育機関のインフラを標的にする傾向が強まっている流れの一環です。教育機関は一般的に、企業環境と比べてサイバーセキュリティリソースが限られています。
影響を受けた個人および組織は、Infinite Campusアカウントおよび同じ認証情報を使用しているすべてのアカウントのパスワードを直ちにリセットし、すべての管理ポータルで多要素認証(MFA)を有効にしてください。
スタッフに対しては、特にInfinite Campusや学区のIT担当者を装ったメールなど、フィッシングリスクが高まっていることを周知する必要があります。
また、流出したサポートチケットの履歴に機密性の高い設定情報が含まれていないか確認し、不審な活動があれば速やかに学区のITセキュリティチームに報告することが推奨されます。
翻訳元: https://cyberpress.org/infinite-campus-data-breach-exposed/
