PowerSchoolへのサイバー攻撃で数千万人の生徒や教師のデータが流出した事件で、以前に有罪を認めたマサチューセッツ州の男性が、火曜日に懲役4年の判決を受けました。これは、連邦検察官が裁判所に提出した量刑勧告の半分の期間です。
検察によると、20歳のマシュー・レーンはPowerSchoolから約7,000万人の生徒と教師のデータを盗み、カリフォルニア州に拠点を置く同社に身代金を要求し、同社は支払ったことで、教育ソフトウェアベンダーに1,400万ドル以上の経済的損失を与えました。
米連邦地方裁判所のマーガレット・グズマン判事は、レーンに懲役4年、その後3年間の保護観察を言い渡しました。また、PowerSchoolおよび未公開の米国通信会社への攻撃に関わる犯罪で、約1,410万ドルの賠償金と2万5,000ドルの罰金の支払いも命じられました。
連邦検察官はレーンに8年の刑を求刑していました。彼が有罪を認めた犯罪が2021年に遡る一連のサイバー犯罪活動に続くものであると主張しています。「政府は、レーンが社会に対する継続的な脅威であり、自身の犯罪活動の規模を否認し続けていることを深刻に懸念している」と、検察は10月7日にマサチューセッツ州連邦地方裁判所に提出した量刑覚書で述べています。
検察は、より軽微な犯罪で有罪判決を受けた他のサイバー犯罪者の例を複数挙げました。これらのケースでは、軽い刑罰では出所後に再びサイバー犯罪に手を染めることを十分に抑止できなかったとしています。レーンによるPowerSchoolへの攻撃は、1,000万人の教師と6,000万人の子ども(中には5歳の子どもも含まれる)を、生涯にわたって個人情報盗難のリスクにさらしたと検察は述べています。
レーンが2024年9月にPowerSchoolの契約業者の認証情報を使って不正アクセスし実行したPowerSchoolへの攻撃は、米国の学童データ流出として過去最大規模と報じられています。レーンは、PowerSchoolが当時約290万ドル相当の身代金を支払わなければ、2024年12月にデータを公開すると脅迫しました。
PowerSchoolの複数の学区顧客が、盗まれた同じデータに関連した追加の恐喝要求を受けたと、同社は5月に発表しました。こうした二次的な恐喝の試みは、サイバー犯罪者が関係者であれそうでなかろうと、機密データを金銭目的で悪用し続けることを浮き彫りにしています。
レーンは犯罪によって得た16万1,000ドル近くを没収されましたが、約300万ドルの不正収益は未だ所在が分かっていないと、裁判所文書は伝えています。「彼が返還した金額は、彼がもたらした経済的損失のわずか1%に過ぎない」と検察は裁判所への提出書類で述べています。
レーンは12月1日までに連邦刑務所局に出頭する必要があります。
翻訳元: https://cyberscoop.com/powerschool-hacker-matthew-lane-sentenced/
