ランサムウェアに感染した学校が身代金の支払いを拒否した結果、機密レポートや人事記録などがネット上に大量流出
ランサムウェア・ギャングとして知られるVice Societyという攻撃者が、全米第2位の学区であるロサンゼルス統一学区(LAUSD)から流出させたデータを公開しました。データの公開が行われる2日前に、LAUSDの代表者は攻撃者から身代金の要求を受けたことを明らかにしつつ、身代金の要求に屈しない姿勢を声明で示していました。
Thank you to our students, families and employees for doing their part in the ongoing recovery from this cyberattack. pic.twitter.com/K8VhiFmSbL
— Alberto M. Carvalho (@LAUSDSup)
Ransomware gang leaks data stolen from LAUSD school system
https://www.bleepingcomputer.com/news/security/ransomware-gang-leaks-data-stolen-from-lausd-school-system/
Big data trove dumped after LA Unified School District says no to ransomware crooks | Ars Technica
https://arstechnica.com/information-technology/2022/10/ransomware-crooks-dump-big-data-trove-stolen-from-la-school-district/
LAUSDは2022年9月初週にもランサムウェア攻撃を受けており、LAUSDのサイトがつながらなくなったり、職員や学生用のメールシステムにもアクセスできなくなったりしたほか、授業に関するシステムもダウンしました。一方で、個人情報データが盗まれた形跡はなく、身代金の要求も行われていないと報じられました。
アメリカで2番目に大きい「ロサンゼルス統一学区」がランサムウェア被害に - GIGAZINE
しかし、続くサイバー攻撃では大規模なデータ流出と身代金の要求が行われ、2022年9月30日にLAUSDは「サイバー攻撃に対するLAUSDの対応」という声明を発表しました。ここでは、サイバー攻撃を受けており専門家や法執行機関と協力して攻撃者を特定している旨や、今回の攻撃を受けてのサイバーセキュリティ面の強化について報告しています。声明の中でLAUSDは、「資金は学生と教育のために使用する必要があると、私たちは固く主張しています。サイバー攻撃者からの身代金要求に従っても、データの完全な復旧が保証されることはありません」と、身代金要求には屈しない姿勢を示しました。
LAUSDが声明を出した2日後の10月2日、この攻撃を行ったVice Societyは、データ漏洩サイトのLAUSDのページを、盗まれたデータへのリンクを含む形に更新しました。そこには、アメリカのサイバーセキュリティおよびインフラストラクチャセキュリティ機関(CISA)に対して「CISAは私たちの時間を無駄にしました。私たちはCISAの評判を無駄にしました」とメッセージが添えられています。
LAUSDの教育長を務めるアルベルト・カルバリョ氏は学区を代表して「残念なことに、データ流出は起きてしまいました」と述べる声明を公開しました。声明では、学校に関係する人・団体が利用できるホットラインを設置した旨が述べられており、データ流出の被害を受ける、もしくは被害を恐れる人をサポートする姿勢を示しています。
今回の件について詳細を報じたPCに関するリソースサイトのBleepingComputerによると、Vice Societyが流出させたデータは定かではないものの、社会保障番号や秘密・機密事項、パスポートに関する情報などが含まれている可能性があるとのこと。また、ロサンゼルスのテレビ局のNBC Los Angelesは法執行関係者を通して、流出した文書には「非公開である学生の心理的評価、契約書と法律文書、ビジネス記録、および多数のデータベースエントリが含まれている」と警告しています。
BleepingComputerは「LAUSDはデータ流出の際には、個人情報が攻撃された人に通知し、無料の信用監視サービスを提供すると述べています。しかし、流出したデータの分析には時間がかかるため、その前に公開されたデータを使った他の攻撃者による侵害が行われるケースが考えられます」と説明し、サイバー攻撃者からの流出した情報を悪用したフィッシングキャンペーンを警戒し、社会保障番号とパスポートが漏洩したことが判明した場合はクレジットを凍結するなどして個人情報の盗難や金融詐欺を防ぐべきであると述べています。
セキュリティ企業のEmsisoftでアナリストを務めるブレット・カロウ氏によると、2022年だけで27の学区、1735の学校がランサムウェアの被害にあっているとのこと。LAUSDのような巨大な学区は、攻撃者にとって一種のトロフィーとなっている面もあるそうです。
William Carey University has experienced a #ransomware incident. Whether data was stolen is not clear. 1/3https://t.co/VAqrhsXU5C
— Brett Callow (@BrettCallow)
・関連記事
「コロナ」「サイバー攻撃」2つの影響を受け創立157年のリンカーン・カレッジが閉校 - GIGAZINE
アメリカで2番目に大きい「ロサンゼルス統一学区」がランサムウェア被害に - GIGAZINE
学校から盗まれた子どもの個人情報がダークウェブに流れているという指摘 - GIGAZINE
2020年だけで7300億円分のランサムウェア被害が学校や教育機関にもたらされた - GIGAZINE
医療機関の9割がここ1年の間に平均43件のサイバー攻撃を受けている - GIGAZINE
・関連コンテンツ
