カナダのプライバシー監視機関は、数百万件の生徒および職員の記録を失ったエドテック大手だけでなく、教育委員会もPowerSchoolの大規模情報漏洩の責任の一端を担うべきだと述べています。
今週発表された共同調査結果で、オンタリオ州とアルバータ州のプライバシーコミッショナーは、2024年12月の侵入が教育分野全体の広範な失敗によって悪化したと述べました。侵害されたログイン認証情報によって攻撃者がPowerSchoolのシステムに侵入したものの、調査官は、多くの教育委員会が生徒データを引き渡す前に基本的な契約上の、セキュリティ上の、または監督上の保護措置を講じていなかったと結論付けました。
この共同報告書は、PowerSchoolが同社のホスト型教育プラットフォームから個人データを持ち出したと主張する犯罪者に密かに身代金を支払っていたことが明らかになってから、ほぼ1年後に発表されました。当時、PowerSchoolは盗まれたデータが「削除された」と主張していましたが、The Registerが後に報じたように、恐喝者たちは同じデータを使って個別の学区を脅迫し始めました ― これはデータが決して消去されていなかったことを強く示唆しています。
州のコミッショナーによると、およそ386万人のオンタリオ州民と70万人以上のアルバータ州民がこの漏洩の影響を受けました。漏洩した情報には、生徒の氏名や連絡先から生年月日、教育記録、識別子、場合によっては医療情報まで含まれていました。
オンタリオ州の報告書は、一部の教育委員会が1960年代にまでさかのぼる数十年分の機微な記録を保持していたことを警告しており、攻撃者が生徒および職員のテーブル全体を取得した際に「重大な被害の現実的なリスクを増大させた」と述べています。
しかし監視機関は、PowerSchoolだけが油断していたわけではないと指摘しています。多くの教育委員会は契約書に必須のプライバシーおよびセキュリティ条項を盛り込んでいませんでした。その他にも、ベンダーのリモートアクセスの取り決めを適切に監督せず、サポートセッションに多要素認証を要求せず、適切な漏洩対応計画を策定していませんでした。PowerSchoolの「常時接続」のリモートサポート機能は、教育委員会が十分に精査しなかった特にリスクの高い取り決めとして指摘されています。
報告書はまた、請負業者の認証情報が侵害されたことによる不正アクセスが2024年8月から9月の間に数か月前から発生していたものの、PowerSchoolのログ保存期間が短すぎて証拠が残らず、発見されなかったことも明らかにしています。
オンタリオ州コミッショナーのパトリシア・コッセイム氏は、「教育委員会間の全体的な連携と協力、そして政府による強力な支援があれば、エドテックサービスプロバイダーとの契約交渉や、公共部門のプライバシー法に基づく義務を確実に履行するために必要な監督・モニタリング措置が強化されるでしょう」と述べました。
アルバータ州コミッショナーのダイアン・マクラウド氏は、「プライバシーは自然に守られるものではなく、公共団体がプライバシーを確保するための方針や手順を策定・実施するための協調した努力が必要です」と付け加えました。
PowerSchoolへのサイバー攻撃は2024年12月下旬に始まり、犯罪者は侵害された認証情報を使ってPowerSchoolのシステムに侵入しました。そこから、数か月にわたる混乱を引き起こすのに十分な大量のデータが持ち去られました。オンタリオ州の報告書によれば、攻撃者は下請け業者のアクセスを利用して、影響を受けたすべての教育委員会で2つの主要なデータベーステーブル ― 生徒テーブル全体と教職員テーブル全体 ― の自動持ち出しを行いました。
5月には、マサチューセッツ州アサンプション大学の学生である19歳のマシュー・レーンが、「6,000万人以上の生徒と1,000万人以上の教師のデータを保有する」学校向けソフトウェアサプライヤーに対する恐喝共謀の罪を認めたと米司法省が発表しました。この件に詳しい情報筋がThe Registerに対し、この企業がPowerSchoolであることを確認しました。
コミッショナーの報告書は、学校側が単なる不運な被害者ではなかったことを明確にしています。境界を設けず、管理を徹底せず、サプライヤーが実際に何をしているかを確認しなかったことで、多くの教育機関は漏洩の被害範囲を広げてしまいました。調査結果はまた、公共機関が第三者プラットフォームに依存しすぎて、リスクを外部委託しても責任までは外部委託できていないという、より広範な傾向も浮き彫りにしています。
最終的に、監視機関が指摘しているのは、一つのずさんなベンダーだけでなく、宿題を忘れてしまった教育分野全体です。そして、これらの教訓が定着しない限り、次の漏洩は驚きではなく ― 避けられないものとなるでしょう。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/11/20/powerschool_breach_reports/
