オーストラリア・ビクトリア州の教育省は、攻撃者が現役および元生徒の個人情報とメールアドレスを含むデータベースにアクセスしたとして保護者に通知し、パスワードのリセットを促しました。
同省は保護者宛てに送付した書簡で侵害を明らかにし、権限のない第三者が生徒の氏名、学校名、学年、学校が発行したメールアドレス、ならびにそれらを使用するアカウントの暗号化されたパスワードにアクセスしたと述べました。
一方で、生年月日、住所、電話番号など、より機微なデータは今回の事案では漏えいしていないとしています。
侵害を調査している当局は、アクセスされたデータが公開されたり他者と共有されたりしたことを示す証拠をまだ見つけていないものの、同省は予防措置として全生徒のパスワードをリセットし、新しい認証情報が発行されるまで生徒が学校アカウントにアクセスできないようにしました。
「全生徒のパスワードはリセットされました。これにより、生徒は学校アカウントにアクセスできません。VCEの生徒には優先的に新しいパスワードを発行します。その他の生徒には新学年の開始時に新しいパスワードを発行します」と同省は、地元メディアが掲載した書簡によると述べています。
「同省は生徒のメールアカウントに対する保護策を講じていますが、予期しない、または見知らぬメールには返信しないようお子さまに注意を促していただくとよいでしょう」
教育省はデータ侵害の影響を受けた生徒数を明らかにしていませんが、ビクトリア州の公立学校制度は、1,500校以上で約65万人の生徒に教育を提供しています。
また、侵害につながった攻撃経路を取り除くための措置を講じたとし、追加情報は入手でき次第提供すると述べました。
「同省は本事案の原因を特定し、保護策を講じました。2026年度の新学年に入るにあたり、学校の校長に対して引き続き最新情報を提供していきます」としています。
ビクトリア州教育省は、攻撃者がいつデータベースにアクセスしたのか、いつセキュリティ侵害が発覚したのか、また攻撃者が身代金を要求したかどうかについて、まだ明らかにしていません。
「現在、サイバー専門家や他の政府機関と連携し、2026年度の新学年開始時に生徒に支障が出ないよう、学校とも連絡を取りながら対応しています」と教育省の広報担当者はBleepingComputerに語りました。 「アクセスされたデータが公開されたり、他の第三者と共有されたりしたことを示す証拠はありません」
12月には、シドニー大学も、同大学のオンラインのコードリポジトリの一つがハッカーに侵入され、現職および元職員・学生2万7,000人超の個人情報を含むファイルが盗まれたことを受け、データ侵害を公表しました。
更新 1月15日 05:32(米東部時間): 教育省の声明を追加しました。
