TokyoBlackHatNews

esecurityplanet.com 5分で読了

Infinite Campus インシデント——学校職員13万7,000件のアカウント情報が流出

eSecurity Planet のコンテンツおよび製品レコメンデーションは、編集部が独自に判断しています。掲載リンクからご購入いただいた場合、当社に収益が発生することがあります。 詳細はこちら

教育テクノロジー企業のInfinite Campusがデータ侵害を受け、13万7,000人を超える学校職員の個人情報が流出しました。

このインシデントは、脅威アクターが同社のSalesforce環境に不正アクセスし、窃取したデータをオンラインに公開したことで発生したとされています。

データ侵害通知サービスのHave I Been Pwned(HIBP)は、流出データの分析結果として「当該グループはInfinite Campusから取得したと主張するデータを公開した。その内容には、13万7,000件のユニークなメールアドレスのほか、氏名、電話番号、住所、サポートチケット情報が含まれていた」と述べています

Infinite Campusインシデントの要点

  • Infinite Campusによると、今回のインシデントはSalesforce環境を標的としたものであり、学生情報データベースへの侵害ではないとのこと。
  • 約13万7,000件の学校職員アカウントに紐づく個人情報および連絡先情報が流出。
  • ShinyHuntersが犯行声明を出し、Salesforceのレコードや内部データを含む1.2 GBのアーカイブを流出させたと主張。
  • 学生の記録は侵害されていないものの、流出データはフィッシングやソーシャルエンジニアリングに悪用される恐れがある。
  • 本インシデントは、教育分野におけるSaaSプラットフォームおよびサードパーティベンダーのセキュリティリスクの深刻化を改めて浮き彫りにしています。

Infinite Campusインシデントの詳細

今回のインシデントは、機密性の高い運用データの管理をサードパーティのクラウドプラットフォームに大きく依存している学校やその他の教育機関が直面する、サイバーセキュリティリスクの深刻化を改めて示しています。

Infinite Campusは米国最大規模の学生情報システム(SIS)プロバイダーの一つで、46州にわたる3,200以上の学区にサービスを提供し、約1,100万人の学生を支援しています。

教育機関がクラウドベースのサービスへの依存度を高めるなか、学校のコアシステム自体は安全であっても、サードパーティベンダーへの攻撃によって数千件もの顧客情報がリスクにさらされる可能性があります。

Infinite Campusによると、今回の攻撃は学生情報データベースではなく、同社のSalesforce環境を標的としたものでした。

同社は、流出した情報の大半は学校職員の氏名と連絡先であり、その多くは学校のディレクトリやウェブサイトで公開されている情報だと説明しています。

それでも今回の侵害は13万7,000件を超えるアカウントに影響を及ぼしており、SaaSアプリケーションのセキュリティリスクを改めて浮き彫りにしています。

ShinyHuntersが犯行声明

恐喝グループのShinyHuntersが犯行声明を出し、Salesforceのレコードや内部データとされる1.2 GBのアーカイブを流出させたと主張しています。

Have I Been Pwned(HIBP)の調査によると、流出データには約13万7,100件のアカウントに関する氏名、メールアドレス、電話番号、ユーザー名、住所、サポートチケット情報が含まれていたことが確認されています。

流出データが招く潜在的リスク

学生の記録は侵害されていませんが、流出したデータは攻撃者によるフィッシングやソーシャルエンジニアリング攻撃に悪用される恐れがあります。

Infinite Campusはすでに、今回のインシデントで影響を受けた関係者への通知を完了しています。

サードパーティのセキュリティリスク低減策

教育機関がサードパーティサービスへの依存を続けるなか、セキュリティチームは多層的なコントロールを実施し、継続的なサードパーティリスク評価を行う必要があります。

  • フィッシング耐性のあるMFAの徹底導入と、すべての特権アカウントへの強力な条件付きアクセスポリシーの適用。
  • ユーザー・サービスアカウント・サードパーティアプリケーションの権限を定期的に見直し、最小権限アクセスコントロールを適用すること。
  • OAuth連携の監査を実施し、SaaSプラットフォームへの不要または過剰なサードパーティアクセスを削除すること。
  • SaaS環境における不審なアクティビティ、異常なログイン、不正なデータエクスポート、アカウント侵害の兆候を継続的に監視すること。
  • 集中ログ管理データ損失防止(DLP)、継続的なセキュリティ監視を有効化し、脅威の検知と対応能力を向上させること。
  • 機密データを扱うベンダーのセキュリティ体制を評価し、定期的なサードパーティリスクアセスメントを実施すること。
  • テーブルトップ演習を通じてインシデント対応計画を検証し、SaaS関連の侵害シナリオが対応手順に含まれていることを確認すること。

これらの対策を組み合わせて講じることで、組織全体のリスク露出を低減し、インシデント発生時の被害範囲を最小限に抑えることができます。

拡大するSaaSの攻撃対象領域

セキュリティチームにとって、Infinite Campusのインシデントは、SaaSプラットフォームとサードパーティプロバイダーが企業の攻撃対象領域において重要な構成要素となっていることを改めて示す事例となりました。

コアシステムや機密性の高い顧客データが直接侵害されていなくても、クラウド環境が侵害されれば、フィッシング、ソーシャルエンジニアリング、その他の二次攻撃を助長する有益な情報が流出してしまいます。

サードパーティへのこうした依存が高まっているからこそ、ユーザー・デバイス・アクセスリクエストを継続的に検証するゼロトラストソリューションを導入する組織が増えています。

翻訳元: https://www.esecurityplanet.com/threats/infinite-campus-incident-exposes-data-from-137000-school-staff-accounts/

ソース: esecurityplanet.com
#Infinite Campus #SaaSセキュリティ #Salesforce #ShinyHunters #サードパーティリスク #データ侵害 #フィッシング・ソーシャルエンジニアリング #個人情報流出 #学校職員 #教育テクノロジー

関連記事

Fortinet vs Palo Alto NGFW比較ガイド 2026年版

ディープフェイクが本人確認詐欺の参入障壁を下げている

Zenith Live 2026:安全なAI導入は人々の働き方の理解から始まる