北米の学校向けソフトウェア提供企業PowerSchoolが、攻撃者による学生および教職員の盗難データ公開を防ぐため、身代金を支払ったと報じられている。
米ウィスコンシン州のハワード・スアミコ学区が保護者に宛てたメッセージをニュースメディアNBC 26が確認しており、そこには次のように記されていた。「PowerSchoolは、これはランサムウェア攻撃ではないことを確認したが、データが公開されるのを防ぐために身代金を支払った。」
InfosecurityはPowerSchoolに問い合わせたが、同社はそのような支払いを行ったかどうかについてコメントしなかった。
PowerSchoolは、侵害について顧客に通知した1月7日付の書簡で、関係するデータがさらなる不正アクセスや不正利用を受けないよう、適切な措置をすべて講じたと述べた。
PowerSchoolの広報担当者はInfosecurityに対し、「PowerSchoolは、データがこれ以上複製または拡散されることなく削除されたと考えている」と語った。
PowerSchoolは2024年10月にプライベート投資会社のベイン・キャピタルに買収された。同社のソフトウェアソリューションは、90か国以上で6000万人超の学生と1万8000超の顧客を支援している。
侵害された認証情報が侵害の原因に
米国およびカナダの学校にK-12向けソフトウェアとクラウドベースのソリューションを提供するPowerSchoolは、通知の中で、悪意ある行為者が2024年12月28日に、同社のコミュニティ向けカスタマーサポートポータルの一つであるPowerSourceを通じて、特定の情報に不正アクセスしたことを明らかにした。
同社によれば、このアクセスは侵害された認証情報によって達成されたという。侵害された認証情報は無効化され、影響を受けたポータルへのすべてのアクセスは制限された。
さらに、PowerSourceカスタマーサポートポータルの全アカウントを対象に、パスワードの全面リセットと、パスワードおよびアクセス制御のさらなる強化が実施された。
PowerSchoolは、アクセスされた情報が「家族および教育関係者」に関するものであることを確認した。通知によれば、侵害された情報は影響を受けた顧客によって異なるという。
同社は今後数週間にわたり、影響を受けたすべての個人を特定し通知するための通知プロセスを実施する。
影響を受けた成人には無料のクレジットモニタリングが提供され、未成年者には規制上および契約上の義務に従って身元保護サービスが提供される。
本件はPowerSourceポータルに限定されており、学校の運用に支障はない。
同社は「重要なのは、インシデントは封じ込められており、PowerSchool環境におけるマルウェアや継続的な不正活動の証拠はない」と述べた。
法執行機関および関係するデータ保護規制当局には、この侵害が通知されている。
ランサムウェアからデータ恐喝へのシフト
このインシデントは、近年、一部のランサムウェアグループが、被害者を恐喝するために主としてデータの持ち出し(エクスフィルトレーション)に注力するという戦術の変化と関連している可能性がある。多くの場合、データを暗号化するためのランサムウェアのペイロードを展開する必要がない。
SonicWallのEMEA担当エグゼクティブVPであるスペンサー・スターキー氏は、学校や大学は極めて機微なデータを保有しており、悪意ある行為者がそれを用いて学生や職員の身元を複製し、金融犯罪に悪用できると述べた。
そのため、この種のデータは特に恐喝の標的になりやすい。
スターキー氏は「その一例がランサムウェアで、サイバー犯罪者は教育機関から盗んだこのデータを高額で身代金として要求し、人質に取ることができる」と述べた。
翻訳元: https://www.infosecurity-magazine.com/news/powerschool-pays-ransom-data-leak/
