学校から個人情報が流出　「PowerSchool侵害」による影響は？：教育機関向けシステムに不正アクセス【後編】

ソフトウェアベンダーPowerSchoolへの攻撃によって、全米の教育機関で生徒と職員の個人情報が漏えいした。流出したのはどのようなデータなのか。攻撃の全貌に迫る。

≫ 2025年03月26日 05時00分公開

[Sean Michael Kerner，TechTarget]

メール通知

連載「TechTarget発　先取りITトレンド」の新着をメールで通知

Shareはてなブックマーク

SharePocket Button

関連キーワード

サイバー攻撃 | データセキュリティ | セキュリティ

　2024年12月、教育機関向けソフトウェアを手掛けるPowerSchoolが攻撃を受けた。この攻撃により、同社ソフトウェアを利用している教育機関の生徒と職員の個人情報が流出したという。どのような情報が流出し、被害者はどのようなリスクにさらされているのか。日本の教育機関にとっても対岸の火事ではないこの攻撃。その詳細を解説する。

流出したデータ、攻撃の影響は？

会員登録（無料）が必要です

続きを読む

併せて読みたいお薦め記事

連載：教育機関向けシステムに不正アクセス

前編：生徒や教員のデータが流出　「PowerSchool」の侵害はこうして起きた

組織にとってのデータ流出リスク

　PowerSchoolによると今回の攻撃は、生徒と職員の情報が保存されている同社のデータベースを使用している教育機関に影響を与えた。正確な数は不明だが、米国でPowerSchoolのソフトウェアが広く採用されていることを考えると、情報漏えいの規模は決して小さくはない。

　PowerSchoolによると、今回の攻撃によって以下の個人情報が流出した。

生徒と家族
- 攻撃されたシステムに情報が保存されていた生徒
- 上記にひも付いて関連情報が保存されていた家族
職員
- 攻撃されたシステムに情報が保存されていた学校職員
- 影響を受けた学区で、記録に個人情報が含まれていた職員

　一部の学区では過去のデータも流出したと報告されている。そのため、現役ではない生徒と職員も影響を受けている。

どのようなデータが盗まれたのか

　PowerSchoolによれば、盗まれた生徒と職員の個人情報には以下が含まれているという。銀行口座の情報やクレジットカード情報が漏えいした証拠は見つかっていない。

氏名
住所
生年月日
ソーシャルセキュリティナンバー（SSN）
医療情報
学業成績

攻撃の時系列

　攻撃に関する詳細はまだ公開されていないが、本稿執筆時点での開示情報を踏まえて攻撃の時系列を整理すると以下の通りだ（全て米国時間）。

2024年12月19～23日
- PowerSchoolのシステムに不正アクセス
2024年12月28日
- PowerSchoolが攻撃を発見
2025年1月7日
- PowerSchoolが影響を受けた教育機関にデータ漏えいの可能性について通知
2025年1月8日
- 一部の教育機関が情報漏えいについて職員と保護者への通知を開始
2025年1月13日
- PowerSchoolのWebサイトで攻撃を公開

攻撃を仕掛けたのは誰か

　攻撃を誰が実施したのかを含めて、攻撃の全容は本稿執筆時点で調査中だ。PowerSchoolは米連邦捜査局（FBI）やセキュリティベンダーCrowdStrikeと協力して攻撃の詳細を把握することに注力しているという。

攻撃の影響

　PowerSchoolのデータ流出は生徒と職員を中心とした教育機関の関係者に広く影響を及ぼしている。具体的な影響は以下の通りだ。

詐欺のリスク
- 影響を受けた人は、個人情報を悪用した詐欺のリスクにさらされている。個人情報は長期にわたって悪用される可能性がある。
コストの発生
- 被害を受けた教育機関は再発防止のためにセキュリティを強化する必要があるので、コストが発生する。
法的なリスク
- PowerSchoolや、場合によっては教育機関に対して訴訟が起こされる可能性がある。
業務負荷の増加
- 被害を受けた教育機関は新しいセキュリティ対策を実施したり、データ管理の方法を見直したりする必要があり、業務負荷が増える。

　攻撃によって教育機関が被害を受けるのは、PowerSchoolの件に限らない。近年、教育機関を直接狙ったランサムウェア（身代金要求型マルウェア）攻撃も広がっている。2024年は米国やカナダにおいて、教育機関を標的にした数件のランサムウェア攻撃があった。教育機関はセキュリティを強化するとともに、攻撃を受けた際に被害を最小限に抑えるレジリエンス（回復力）を高めるための施策も重視する必要がある。

TechTarget発　先取りITトレンド

米国Informa TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

TechTargetジャパントップセキュリティ

新着ホワイトペーパーWhitePaper DownloadCenter

市場調査・トレンドキヤノンマーケティングジャパン株式会社

4割以上が人材確保に課題、調査で見えた中小企業のセキュリティ課題と解決策

サイバー攻撃の高度化や、取引先からの要請を受け、中小企業でもセキュリティ対策の強化が必須となっている。しかし、人材不足が原因で、EDRやXDRの運用に不安を感じる企業も多い。こうした現状や解決策を、調査結果から探る。

事例キヤノンマーケティングジャパン株式会社

セキュリティ能力の向上と運用管理の業務軽減、人材不足でも実現できた理由とは

教育機関を狙うサイバー攻撃が増加傾向にある。教育活動の安全を守るためには、セキュリティ強化が不可欠だが、多くの教育機関でインシデントに対処できる人材が不足している。本資料では、この問題を解決した大手前学園の事例を紹介する。

製品資料キヤノンマーケティングジャパン株式会社

マンガで解説：人材不足が進む中小企業がセキュリティを強化する方法とは？

人材不足が進む中小企業にとって、専門スキルを有する人材が必要なサイバー攻撃対策は悩みの種だ。そこで本資料を参考にしてほしい。ここでは、セキュリティ対策にXDRとMDRを活用することのメリットをマンガで分かりやすく解説する。

事例キヤノンマーケティングジャパン株式会社

社内に負担なく短期間でセキュリティを向上、テクトロンの事例に学ぶMDR活用

医療機関へのサイバー攻撃が激化する中、医療情報システムを扱うSIベンダーであるテクトロンは、顧客への責任を果たすため、さらなるセキュリティ強化に取り組んでいる。そんな同社が負担なく短期間でセキュリティを向上させた方法とは？

事例キヤノンマーケティングジャパン株式会社

約100拠点のセキュリティ強化と運用監視効率化を実現、事例に学ぶXDR導入の勘所

担当する図書館が全国で約100拠点にまで成長する一方、ネットワーク環境のばらつきによりサイバーセキュリティ対策が課題だったヴィアックス。同社は、24時間365日体制で高精度なセキュリティを確保するために、あるXDR製品を導入する。

8000点以上の技術資料や導入事例など、IT導入の課題解決に役立つ情報を入手できます。

ベンダーコンテンツPR

数分でデータを人質に　進化するランサムウェアに有効な「第2世代EDR」とは (2025/3/4)

クラウドサービスの脆弱性をどう解消する？　安全な開発環境を構築するヒント (2025/3/4)

「複雑、高額、難しい」を変える中堅・中小向けSASEのメリットを解説 (2025/2/10)

「Box」に移行してもなくならない「お守り仕事」を根本から効率化するには？ (2025/1/23)

これからのセキュリティ対策に必要な「防御側の優位性」、AIはどう実現する？ (2025/1/22)

From Informa TechTarget

お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア（株）が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。

SpecialPR

アクセスランキング

2025/03/29 UPDATE

プレミアムコンテンツ

Windows 10「なぜか遅い」はあれが原因だった？

Windows 10「なぜか遅い」はあれが原因だった？

ダウンロード

» プレミアムコンテンツライブラリへ

＠IT eBook

「AWS」と「Terraform」で学ぶクラウドインフラ自動化　非効率な管理／属人化から脱却するノウハウが分かる無料の電子書籍

Pythonの文字列判定（is系メソッド＆正規表現）をマスターしよう！　無料の電子書籍『解決！Python　文字列チェック編』

仮想化環境を自由自在に操るためのファーストステップ！　仮想ディスク操作基本PowerShellコマンドレット集

PDFの便利な使い方から困りごとまで『PDF活用のヒント集 Vol.1』

» 一覧ページへ

セキュリティ新着記事

「公衆無線LANを使わない」だけじゃないメールセキュリティ対策5選をおさらい

攻撃集団の撲滅からMicrosoft批判まで――2024年のセキュリティ界5大激震

「LockBit撲滅」のはずがなぜ？　台頭する新たなランサムウェア集団

従業員が“ついやってしまうNG行動”を避けるためのメールセキュリティ対策5選

あの情報が格好の餌食に？　ネットストーカーに狙われないための対策をおさらい

TechTargetジャパン新着記事

SAPが保守期限を2033年まで“事実上延長”　その条件とは？

AI規制は乱立したまま？　2025年に押さえておくべき生成AIのトレンド5選

AIツールの導入を失敗させない　CIOがまずやるべき“たった2つのこと”

マクドナルドやウォルマートが模索する「多様性」撤回の“新戦略”とは？

マルウェア検知やVPNで終わってない？　「危険なテレワーク」を防ぐ対策6選

ホワイトペーパーランキング

2025/03/30 UPDATE

ITmedia マーケティング新着記事

「AR」でMetaに勝てる？　SnapのCEO、エヴァン・シュピーゲル氏はこう語った
SnapのCEO、エヴァン・シュピーゲル氏が最近、動画インタビューに立て続けに登場している...

SEOに欠かせない「インデックス」について徹底解説【初心者必見】
今回は、SEOにおける「インデックス」について、わかりやすく解説します。

マーケ担当者はなぜ「広報」を誤解するのか？
「マーケティング」と「広報」活動は似て非なるもの。この連載では2つの業務を兼務する人...

パスワード再設定

よくあるご質問

TechTargetジャパンとは

お問い合わせ

広告掲載について

サイトマップ

初めての方

ITmediaはアイティメディア株式会社の登録商標です。

メディア一覧 | 公式SNS | 広告案内 | お問い合わせ | プライバシーポリシー | RSS | 運営会社 | 採用情報