マサチューセッツ州ウースター出身の19歳の大学生、マシュー・D・レーンは、2024年12月にPowerSchoolへのサイバー攻撃を主導し、大規模なデータ漏洩を引き起こしたとして懲役4年の判決を受けました。
PowerSchoolは、K-12(幼稚園から高校まで)の学校や学区向けのクラウドベースのソフトウェアソリューションプロバイダーで、世界中に18,000以上の顧客を持ち、6,000万人以上の生徒をサポートしています。
裁判資料によると、米国地方裁判所のマーガレット・R・グズマン判事は火曜日、レーンに懲役4年を言い渡し、1,400万ドルの賠償金と25,000ドルの罰金の支払いを命じました。
レーンは2025年5月、保護されたコンピューターへの不正アクセス、サイバー恐喝共謀、サイバー恐喝、加重身元盗用の4つの連邦犯罪について有罪を認めました。
米国司法省によると、レーンと共犯者たちは下請け業者から盗んだ認証情報を使い、2024年12月19日に教育ソフトウェア大手のPowerSourceカスタマーサポートポータルに不正侵入し、メンテナンスツールを使って、世界6,505の学区から950万人の教員と6,240万人の生徒の個人情報を含む学校データベースをダウンロードしました。
生徒や教職員の氏名、住所、電話番号、パスワード、保護者情報、連絡先、社会保障番号、医療データなど幅広い機密データを盗んだ後、2024年12月28日に285万ドル相当のビットコインによる身代金要求を送りつけました。
これらの脅迫状は、2022年のAT&Tデータ漏洩(1億900万人被害)、SnowFlakeデータ窃盗攻撃、Salesforceへの一連の侵害など多くの事件に関与している悪名高い脅威グループ「Shiny Hunters」からのものと主張していました。
PowerSchoolはデータ漏洩を防ぐために身代金を支払いましたが、支払額は明らかにされていません。支払いが行われたにもかかわらず、レーンと共犯者たちはさらに、被害を受けた各学区に対して追加の身代金を要求し、生徒データの漏洩を防ぐよう脅迫し続けました。
3月には、PowerSchoolは脅威者が2024年8月と9月にも同じ認証情報を使ってPowerSourceに侵入していたことを明らかにしましたが、CrowdStrikeによる調査では、3件全ての侵害に同じ攻撃者が関与している証拠は見つかりませんでした。
先月、テキサス州司法長官ケン・パクストンは、PowerSchoolがテキサスの家族や学区のデータを保護できなかったこと、そしてセキュリティ対策について顧客を誤解させたとして、PowerSchoolを提訴しました。
