昨年12月28日に発見された米国の教育技術大手PowerSchoolのサイバー攻撃とデータ侵害は、数千万人の児童や教師の個人データを晒す恐れがあります。
PowerSchoolは、侵害がサブ契約者のアカウントの妥協に関連していると顧客に伝えました。TechCrunchは今週、PowerSchoolのソフトウェアエンジニアに関する別のセキュリティインシデントについて知りました。そのエンジニアのコンピューターはマルウェアに感染し、サイバー攻撃前にその会社の認証情報を盗まれたというものです。
PowerSchoolとTechCrunchが特定したエンジニアの身元は、PowerSchoolが言及したサブ契約者とは異なる可能性が高いです。エンジニアの認証情報が盗まれたことは、PowerSchoolのセキュリティ手順についてさらなる疑念を投げかけます。PowerSchoolは昨年56億ドルの取引でプライベートエクイティ大手のベイン・キャピタルによって買収されました。
PowerSchoolは、サイバー攻撃に関して公にほとんど詳細を共有しておらず、影響を受けた学区がデータ侵害を生徒や教師に通知し始めています。同社のウェブサイトによると、その学校記録ソフトウェアは、北米全体で6000万人以上の学生をサポートするために18,000校で使用されています。
先週、TechCrunchが目にしたPowerSchoolの顧客とのやり取りによると、名前の挙がっていないハッカーたちが「機密性の高い個人情報」を盗んだことが確認されました。これには、一部の生徒や教師の社会保障番号、成績、人口統計情報、医療情報が含まれます。PowerSchoolは、どれだけの顧客がサイバー攻撃の影響を受けたかについてはまだ明らかにしていませんが、侵害を受けたいくつかの学区はハッカーが「すべて」の歴史的な学生や教師のデータを盗んだことをTechCrunchに伝えています。
侵害を受けた学区に勤務する1人の人物は、生徒に関する非常に敏感な情報が侵害されたことをTechCrunchに伝えました。その人物は、親の子供に対するアクセス権に関する情報、令状、特定の生徒が薬を服用する時期などの例を挙げました。侵害を受けた他の学区の人々も、盗まれたデータは各個々の学校がPowerSchoolシステムに追加した内容に依存するだろうとTechCrunchに伝えました。
TechCrunchの情報筋によると、PowerSchoolは、ハッカーたちがPowerSchoolのシステムに侵入するために、PowerSchoolに関連した技術サポートサブ契約者に関連する1つの侵害されたメンテナンスアカウントを使用したことを顧客に伝えたとのことです。今週立ち上げられたインシデントページで、PowerSchoolは、顧客サポートポータルの不正アクセスを特定したと述べました。
PowerSchoolの広報担当者ベス・キーブラーは金曜日にTechCrunchに、顧客サポートポータルへの侵害に使用されたサブ契約者のアカウントには、マルチファクタ認証(MFA)が設定されていなかったと述べました。PowerSchoolはその後、MFAを導入したと述べています。
PowerSchoolは侵害を捜査するためにインシデント対応企業のCrowdStrikeと協力しており、報告書は金曜日を早めにリリースされる予定です。Eメールで連絡を取ったところ、CrowdStrikeはコメントをPowerSchoolに委ねました。
キーブラーはTechCrunchに対し、同社が報告書を受け取ったかどうか、また同社が調査結果を公開する予定があるかどうかについてはコメントしなかった。「CrowdStrikeの初期の分析と調査結果によれば、このインシデントに関連するシステムレイヤのアクセスや、悪意のあるソフトウェア、ウイルス、バックドアの証拠は一切見つかっていません」とキーブラーはTechCrunchに述べました。PowerSchoolは、その後の報告を受け取ったかどうか、またその調査結果を公に発表するかどうかについては明言しませんでした。
PowerSchoolは、データの流出に関する調査を継続中であり、侵害を受けた学生や教師の数の見積もりを提供していません。
マルウェアによって盗まれたPowerSchoolのパスワード
TechCrunchが入手した情報によると、PowerSchoolで働くエンジニアのコンピューターから得たログによると、そのデバイスはサイバー攻撃前に多産なLummaC2情報窃取マルウェアによってハッキングされました。
マルウェアがインストールされた時期は明確ではありません。情報筋によると、パスワードは2024年1月以前にエンジニアのコンピューターから盗まれたとのことです。
情報窃取者は、特にリモートおよびハイブリッドワークの増加に伴い、企業に侵入するハッカーにとってますます有効な手段となっています。Wiredによると、これにより、情報窃取マルウェアが自宅のコンピューターにインストールされる機会が生まれますが、従業員が自分の個人デバイスを使用して仕事アカウントにアクセスすることが許可されるため、企業アクセス可能な資格情報を持つことができる状況が生まれます。
TechCrunchが見たLummaC2のログのキャッシュには、エンジニアのパスワード、2つのWebブラウザからの閲覧履歴、およびエンジニアのコンピューターに関する識別可能な技術情報が含まれています。
一部の盗まれた認証情報は、PowerSchoolの内部システムに関連付けられているようです。
ログには、マルウェアがエンジニアのGoogle ChromeとMicrosoft Edgeブラウザから保存されたパスワードと閲覧履歴を抽出したことが記録されています。その後、マルウェアは、エンジニアの盗まれた認証情報を含むログのキャッシュをオペレーターが管理するサーバーにアップロードしました。そこから、認証情報は、企業アカウントのパスワードや資格情報がサイバー犯罪者の間で売買や取引される閉鎖されたサイバー犯罪に焦点を合わせたTelegramグループを含む、より広いオンラインコミュニティと共有されました。
マルウェアのログには、PowerSchoolのソースコードリポジトリ、バグおよび問題の追跡用のJiraインスタンス、およびその他の内部システムに関連付けられたエンジニアのパスワードが含まれています。エンジニアの閲覧履歴には、PowerSchoolのAWSアカウントへの広範なアクセスが記録されており、これには、同社のAWSホストされたS3クラウドストレージサーバーへの完全アクセスが含まれています。
そのエンジニアの名前は明らかにしません。なぜなら、何らかの違法行為を犯した証拠がないからです。以前の類似した状況で述べたように、最終的には企業が、従業員の認証情報の盗難による侵入を防止するための防衛策を実施し、セキュリティポリシーを遵守する責任があります。
TechCrunchからの問い合わせに対し、PowerSchoolのキーブラーは、PowerSchoolのシステムに侵入するために使用された侵害された認証情報を持つ人物はAWSへのアクセス権を持っていなかったと述べました。PowerSchoolの内部システム、Slack、AWSなどは、MFAで保護されています。
エンジニアのコンピューターには、TechCrunchが見た他のPowerSchool従業員のいくつかのセットの認証情報が格納されています。これらの資格情報には、同社のSlack、ソースコードリポジトリなどにアクセスするための同様のアクセス権が含まれているようです。
ログに見られる数十のPowerSchoolの認証情報のうち、多くは長さが短く、複雑さが低いもので、数文字や数字の組み合わせだけで構成されているものがいます。Haved I Been Pwnedの盗まれたパスワードの更新リストによると、いくつかのアカウントのパスワードは以前のデータ侵害で既に盗まれている認証情報と一致していました。
TechCrunchはPowerSchoolのシステムで盗まれたユーザー名とパスワードをテストしていません。それを行うことは違法になるためです。そのため、その認証情報が現在も使用されているか、またMFAで保護されているかどうかは判明しません。
PowerSchoolは、これらのパスワードについてコメントすることはできず、盗まれたエンジニアの個人を保護するために、TechCrunchはそれらの認証情報を公開していません。同社は、「最小の長さと複雑さの要件を含むパスワードのセキュリティに関する堅牢なプロトコルが設けられており、NISTの推奨事項に準拠してパスワードが定期的に変更されている」と述べました。同社は侵害後、PowerSchoolは「PowerSource顧客サポートポータルアカウントすべてのパスワードリセットを実行し、さらにアクセス制御を強化しました」と述べ、この部分は侵害されました。
PowerSchoolは、従業員と契約業者の両方に対してシングルサインオン技術とMFAを使用しています。同社は、セキュリティコントロールが設定されたノートパソコンや会社のシステムへの接続用VPNなど、セキュリティコントロールが備わった仮想デスクトップ環境への直接アクセスを提供しています。
PowerSchoolのデータ侵害とその後のインシデント処理に関しては、影響を受けた学区が現在、侵害によってどの程度の現在および元の生徒やスタッフが個人データを盗まれたかを評価し続けています。
PowerSchoolのウェブサイトへのログインがないと、この時点ではPowerSchoolのデータ侵害に関するドキュメントにアクセスできません。
Carly Pageが取材に貢献しました。
Zack Whittakerには、+1 646-755-8849でSignalとWhatsAppで安全にご連絡いただけます。Carly Pageには、+44 1536 853968のSignalで安全にご連絡いただけます。TechCrunchにはSecureDropを使用して文書を安全に共有できます。
