退職後21ヶ月間にわたりApple School Manager・Googleアカウントを不正操作——アイオワ州学校区の元IT職員に連邦禁固刑

米アイオワ州デモインにあるSaydel Community School District（セイデル統合学区）の元上級ITサポート専門家、エゼキエル・ディーン・ポッター被告（34歳）が、退職後も学区のシステムに不正アクセスし続けたとして連邦コンピュータ詐欺罪（CFAA違反）で有罪を認め、2026年6月11日に禁固21ヶ月・保護観察3年・59,668ドル（約900万円）の賠償支払いを命じる判決を受けた。

21ヶ月間にわたる「元従業員テロ」の全貌

ポッター被告は2022年5月から2023年4月まで学区に在籍していた。退職後も認証情報を返却・無効化することなく保持し続け、以下のような攻撃を繰り返した。

退職直後〜初期段階

• 学区のFacebookページを削除
• Apple School Managerアカウントを標的に、ユーザーアカウント・パスワード・電話番号・請求情報・デバイス管理サーバーデータを一括削除
• Appleとの復旧作業が完了するまでの約1週間、学区内のMacBook・iPadのMDM（モバイルデバイス管理）が機能停止

2025年1月——攻撃がエスカレート

• GoogleアドミンアカウントからSchoogyy（スクーロジー）学習管理システム（LMS）に侵入し、ITスタッフのアカウントを削除。約2時間にわたり教師がLMSにアクセス不能に
• 翌週、別のアドミンアカウントから現役・元スタッフ9名のGmailアカウントを削除。対象にはITディレクターと教育長も含まれていた
• Googleからセキュリティ警告が届くとVPNサービスに切り替えて証拠隠滅を図った

捜査の糸口となった「USB ドライブ」

連邦捜査官は、ポッター被告が別の職場（Casey’s Store Support CenterおよびThe Printer Inc.）で業務していた際のIPアドレスを一部の攻撃と紐付けることに成功した。

TPI退職後、ポッター被告は元同僚に「デスクのUSBドライブを回収して消去してほしい」と依頼した。しかし元同僚はそのUSBドライブを捜査機関に提出。解析の結果、Saydel学区のアカウントとサービスのユーザー名・パスワードが記録されたスプレッドシートが発見され、決定的証拠となった。

実務への影響――日本のIT管理者が今すぐ確認すべきこと

この事件が示す脅威は「悪意ある外部攻撃者」ではなく「かつてアクセス権を持っていた内部関係者」だ。日本の学校・自治体・中小企業でも同様のリスクは日常的に存在する。

退職者アクセス管理の即日チェックリスト

• 退職当日に全クレデンシャルを無効化する手順はあるか？　アカウント無効化の責任者と実施タイミングを明文化する。「あとで対応」は致命的
• Apple School Manager・Google Workspace・Microsoft 365など外部SaaSの管理者権限は棚卸しされているか？　オンプレミスのActive Directoryだけ無効化して、SaaS側に残存アクセスが生き続けるケースは非常に多い
• VPN・GoDaddy・学習管理システムなど「その他のサービス」にも個別アカウントが存在しないか？　サービスごとにバラバラに発行された認証情報は見落としがち
• 管理者アカウントの操作ログは取得・監視しているか？　本件ではGoogle側から送られたセキュリティ警告が存在したにもかかわらず、攻撃を21ヶ月間止められなかった
• USB等の持ち出し媒体の管理ポリシーはあるか？　証拠となったUSBドライブが手渡しで共有されていた点は、情報管理体制の課題を浮き彫りにしている

ツールより先に「プロセス」を整備する

高額なSIEMやEDRを導入しても、退職者の認証情報が無効化されていなければ意味がない。技術的対策の前提として「人事・IT・法務が連携した退職フローの整備」が最優先事項だ。

筆者の見解

この事件を読んで、改めて「Just-In-Time（JIT）アクセス」の考え方の重要性を実感した。ポッター被告が21ヶ月間攻撃を継続できた根本原因は、退職後も有効なクレデンシャルが残り続けたという、アクセス管理の基本的な失敗にある。

「常時アクセス権の付与は特権アカウント管理における最大のリスク」というのはゼロトラストの基本原則だが、教育機関や中小規模の組織では「担当者が変わってもアカウントが引き継がれる」「退職フローに認証情報の無効化が含まれていない」というケースが珍しくない。

また、Googleからセキュリティ警告が届いていたにもかかわらず攻撃が継続した点は看過できない。アラートは鳴っていた。問題はそのアラートを受け取った後の対応プロセスが存在しなかったことだ。「ログは取っているが見ていない」「警告メールが誰のInboxにも入っていない」という状況は、規模を問わず多くの組織で起きている。

日本の教育機関・自治体においても、GIGAスクール構想でiPad・Chromebookが大量導入された結果、Apple School ManagerやGoogle Workspaceの管理が「ITに詳しい先生1人」に依存しているケースは少なくない。その1人が退職・異動した場合、今回と同様のリスクが生まれうる。

技術よりも先にプロセスを作る。退職者のアクセス管理という「地味だけど最重要」な業務フローを、今日の業務の中で一度見直してみてほしい。

出典: この記事は Ex-school district employee jailed for hacks on former employer の内容をもとに、筆者の見解を加えて独自に執筆したものです。