Empty school

PowerSchoolの情報漏えいの影響を受けていることが判明している学区は、記事の最下部に記載されている。

教育ソフトウェア大手のPowerSchoolは、同社のPowerSchool SISプラットフォームを使用している学区の生徒と教師の個人情報を脅威者が盗むというサイバーセキュリティインシデントに見舞われたことを確認した。

PowerSchoolは、幼稚園から高校までの学校および地区向けのクラウドベースのソフトウェア・ソリューション・プロバイダーであり、世界中で6,000万人以上の生徒と18,000人以上の顧客をサポートしている。同社は、入学手続き、コミュニケーション、出席、職員管理、学習システム、分析、財務などのプラットフォームを含め、学区の運営を支援するあらゆるサービスを提供している。

同社の製品は主に学区とその職員に知られているが、パワースクールはナビアンスも運営している。ナビアンスは、米国の多くの幼稚園から高校までの学区で利用されているプラットフォームで、生徒に個別化された大学、キャリア、生活準備計画ツールを提供している。

データ盗難攻撃の標的

火曜日の午後に顧客に送られ、PowerSchoolが入手したサイバーセキュリティ事件通知では、PowerSchool SISの顧客情報がPowerSourceカスタマーサポート・プラットフォームを通じて盗まれた後、2024年12月28日に初めて情報漏洩に気づいたとしている。

PowerSchool SISは、生徒の記録、成績、出席、入学などを管理するための生徒情報システム(SIS)である。

「あなたの学区の主な連絡先として、私たちは、2024年12月28日にPowerSchoolが私たちのコミュニティに焦点を当てた顧客サポートポータルの1つであるPowerSourceを通じて特定の情報への不正アクセスに関わるサイバーセキュリティ事件の可能性を認識したことをお知らせします。

このインシデントを調査した結果、脅威者は漏洩した認証情報を使用してポータルにアクセスし、「エクスポート・データ・マネージャー」カスタマー・サポート・ツールを使用してデータを盗んだことが判明しました。

「不正アクセスされた者は、漏洩した認証情報を使用して、PowerSourceと呼ばれる私たちのコミュニティに特化したカスタマー・サポート・ポータルの1つにアクセスすることができました。

「PowerSourceにはメンテナンスアクセスツールが含まれており、PowerSchoolのエンジニアは継続的なサポートやパフォーマンス問題のトラブルシューティングのために顧客のSISインスタンスにアクセスすることができます。

このツールを使って、攻撃者はPowerSchool SISの’生徒’と’教師’のデータベーステーブルをCSVファイルにエクスポートし、それを盗んだ。

PowerSchoolは、盗まれたデータには主に氏名や住所などの連絡先が含まれていることを確認しています。しかし、地区によっては、社会保障番号(SSN)、個人を特定できる情報(PII)、医療情報、成績も含まれている可能性がある。

PowerSchoolの広報担当者は、顧客チケット、顧客認証情報、フォーラム・データなどは、今回の侵害で流出したり、流出したりはしていないと述べた。

同社はまた、PowerSchool SISのすべての顧客が影響を受けたわけではなく、通知を発行する必要があるのは顧客の一部だけであると予想していると強調した。

このインシデントを受け、同社はCrowdStrikeを含む第三者のサイバーセキュリティ専門家と協力し、インシデントの調査と緩和を行った。

これには、すべてのパワーソース社のカスタマー・サポート・ポータル・アカウントのパスワードのローテーションと、より厳格なパスワード・ポリシーの導入が含まれる。

顧客のみがアクセスできる異例の透明性の高いFAQで、パワースクールはまた、これがランサムウェア攻撃ではなかったが、データの公開を防ぐために身代金を支払ったことを確認した。

「PowerSchoolは、脅威行為者との交渉に深い経験を持つプロのアドバイザーであるCyberStewardのサービスを利用しました。

“彼らの指導により、PowerSchoolは、データが削除され、追加のコピーが存在しないという合理的な保証を脅威行為者から受け取った。”

脅威行為者にいくら支払われたのかという質問に対しては、”調査の機密性を考慮し、具体的な情報は提供できない “と回答した。

同社は、データが削除されたことを示すビデオを受け取ったと述べているが、すべてのデータ強奪攻撃と同様に、それが削除されたことを100%保証するものでは決してない。

同社は現在、ダークウェブを継続的に監視し、データが流出したかどうか、あるいは今後流出するかどうかを判断している。

影響を受けた人々に対して、PowerSchoolは、影響を受けた成人にはクレジット・モニタリング・サービスを、影響を受けた未成年にはID保護サービスを提供している。

PowerSchoolによると、同社の業務に影響はなく、情報漏洩にもかかわらずサービスは通常通り継続されているという。

同社は現在、影響を受けた学区に通知しており、今回の事件について教師や家族に知らせるためのアウトリーチメール、トーキングポイント、FAQを含むコミュニケーションパッケージを提供する予定である。

もし、あなたが直接の情報を持っていたり、PowerSchoolの攻撃に関与していたりするのであれば、私たちはあなたと話したいと思っています。シグナル(@LawrenceA.11)またはテレグラム(@lbleeper)で内密にご連絡ください。

あなたの学区が影響を受けているかどうかの判断

は、PowerSchool が近々、影響を受けたかどうかを確認し、どのデータが盗まれたかを判断するための詳細なガイドを顧客に提供する予定であることを明らかにした。

一方、この事件に関するReddit のスレッドには、影響を受けた学区の IT 担当者からの貴重な情報が含まれており、PowerSchool SIS データベースからデータが盗まれたかどうかを検出する方法が説明されています。

顧客はまず、ps-log-audit ファイルに “200A0” という名前のメンテナンス・ユーザーがリストされているかどうかを確認することができます。このメンテナンス・ユーザーは、脅威行為者がデータ流出に使用したPowerSourceの「エクスポート・データ・マネージャー」カスタマー・サポート・ツールにリンクされています。

「マスデータログの時間によって、監査ログアクセスとマスデータエクスポートを関連付けることができます

American School of DubaiのSISスペシャリストであるRomy Backus氏によって書かれた詳細なガイドでは、データが盗まれたかどうかを判断するためにPowerSchool SISのログをチェックする方法が説明されています。

このガイドと他の報告によると、データが最初に盗まれたのは2024年12月22日で、IPアドレスは91.218.50.11でした。このIPアドレスは、ウクライナのウェブサイトとバーチャルホスティング会社に属しています。

ogs showing data exfiltration by the attacker at the 91.218.50.11 ip address
91.218.50.11のIPアドレスにおける攻撃者によるデータ流出を示すログ
ソースはこちら:ロミー・バッカス

ガイドでは、機密情報が多く含まれる「Students」と「Teachers」のデータベーステーブルから、どのようなデータフィールドが盗まれた可能性があるかを確認する方法が説明されている。

PowerSchoolによると、これらのフィールドのすべてにデータが入力されているわけではないが、盗まれたデータには、未成年者の場合、名前、住所、電話番号、社会保障番号、成績平均点、バス停、パスワード、メモ、アラート、生徒ID、保護者情報、医療情報などの機密情報が含まれている可能性がある。

教師については、氏名、住所、電話番号、社会保障番号、パスワードなどが含まれる可能性がある。

調査は継続中で、サイバーセキュリティ企業CrowdStrike社は2025年1月17日までに最終報告書を発表する予定だ。

PowerSchoolは透明性を重視しており、報告書の準備ができ次第、影響を受ける学区と共有するとしている。

影響を受けた学区

PowerSchoolによるセキュリティ・インシデントの公表後、学区は本日、保護者と生徒に対して情報漏洩に関する通知を開始した。

以下は、パワースクールの情報漏えいの影響を受けたという読者の学区のリストです:

* これらの学区の住民から、影響を受けたというEメールが寄せられています。情報開示への正式なリンクやEメールをお持ちの方は、ぜひ共有してください。

その他、影響を受けた学区をご存知の方は、tips@bleepingcomputer.com まで電子メールでお知らせいただくか、タレコミフォームからお知らせください。

1/7/25更新:
1/8/25更新:一夜にして顧客から共有されたIOCを追加しました。