ロサンゼルス統一学区(LAUSD)は、現在および過去の生徒の名前、住所、財務、成績、パフォーマンススコア、障害情報、懲戒の詳細、保護者の情報を含む侵害を確認しました。
脅威アクターの Sp1d3r は、ダークウェブフォーラムでデータベースを 1,000 ドルで売りに出している。カリフォルニア州教育省によると、LAUSD には現在、778 校の K-12 学年に 529,902 人の生徒が在籍している。侵入は 5 月下旬に発生しており、学校側は Bleeping Computer への声明でこれを認めた。
「これまでのところ、学区の継続中の調査では、システムやネットワークへの侵害の証拠は明らかになっていない。しかし、影響を受けたデータの範囲と程度に関する調査は継続中だ」と広報担当者は述べ、調査が続く中、学区はFBI、CISA、関連ベンダーと協力していると付け加えた。
攻撃者は、盗まれた機密データは11GBで、その中には生徒情報の記録2,600万件、教師の記録24,000件以上、職員約500人のデータが含まれていると述べている。
この脅威アクターは、スノーフレーク関連の他の攻撃を行ったグループと関係があるようだ。 チケットマスター、サンタンデール銀行、Advance Auto Parts、Pure Storage などです。「UNC5537」として活動するサイバー犯罪者は、保護されていない Snowflake アカウントを使用して、マルウェアや情報窃盗ソフトウェアを大規模に使用できました。
Mandiant と CrowdStrike の調査によると、最大 165 件の Snowflake 顧客アカウントが侵害された可能性があり、この侵害は無効にされた多要素認証 (MFA) 保護に起因するとされています。Snowflake には、企業がユーザーに対して多要素認証を強制するメカニズムがありませんでした。Snowflake はその後、アカウントに対して MFA を強制し始めると発表しました。
「UNC5537 の Snowflake 顧客インスタンスに対する攻撃は、特に目新しい、または高度なツール、技術、または手順によるものではありません」と Mandiant はレポートで述べています。「この攻撃の広範な影響は、インフォスティーラー市場の拡大と、認証情報のセキュリティをさらに強化する機会を逃したことによるものです。」
学校区がサイバー攻撃の標的になることが増えている。 エミソフト 2023年のサイバーセキュリティインシデントは108件で、前年の45件から増加しました。
サイバーセキュリティの専門家は、組織はデータの衛生を最優先にし、MFA やその他の保護を念頭に置く必要があると述べています。「ここで学んだ大きな教訓は、衛生に関するものです」と、Pentera のフィールド CISO である Jay Mar-Tang 氏は電子メールで述べています。「多要素認証はゼロトラスト フレームワークの基本概念であり、アカウントに常に適用する必要があります。クラウド パートナーまたはサービス プロバイダーがこれを適用していない場合は、リスクを大幅に削減するため、自分で積極的に適用する必要があります。」