英国のキャッシュレス学校支払い会社ワイズペイは、カード支払いページを偽装しようとする悪意のある人物を発見した後、ウェブサイトをオフラインにした。
「親や保護者が(子供の)学校や大学にキャッシュレスで支払いをできるようにする」と自称するハンプシャーに拠点を置く同社は、ウェブサイトが「メンテナンスのためダウンしている」と述べた。
Reg の読者である Jon さんは次のように語っています。「学校のウェブサイトは日曜日からダウンしており、月曜日の朝からは「メンテナンスのためダウン」という通知が表示されています。つまり、生徒のアカウントに昼食代をチャージできず、学校で販売されている品物も購入できないということです。」
別の読者は、保護者らが学校のダウンタイムを心配していると付け加え、「ほとんどの保護者が学校給食や遠足などの費用をこの方法で支払っていることを考えると、少し心配だ」と述べた。
実際には、この「機能停止」は、正体不明の攻撃者による「URL操作」の試みを阻止するための先制的な措置だったと、Wisepayの広報担当者は説明した。広報担当者はさらに、攻撃者は「Sagepayのページを偽装してカード情報を入手しようとしていた」と述べ、Wisepay自体は「保護者向けのゲートウェイ」を提供しているだけで、カード情報自体は保有していないと付け加えた。
同社は英国情報コミッショナー事務局に通報し、「サイバーフォレンジック機関」と協力してさらなる調査を進めていると述べた。ウェブサイトは本日「午後4時から5時の間」に復旧すると約束した。
ワイズペイの顧客であるハートフォードシャー州の中等学校モンクス・ウォーク・スクールは、本日、フェイスブックへの投稿で保護者らにこう伝えた。「予防措置として、10月2日から5日の間にワイズペイを使おうとした場合は、オンラインバンキングで不審なアクティビティがないか確認するなど、適切な予防措置を講じることをお勧めします。」
学校側はやや辛辣な口調でこう付け加えた。「現実的には、皆さんが息子さんや娘さんのために引き続き学費を支払っていただけるよう、代替の支払い方法を検討しています。」
このキャッシュレス決済サービスは英国全土の学校や大学で使用されており、2017年にコミュニティ・ブランズUKホールディングス社に買収された。同社は教室行動管理システムのBehaviourWatch、コミュニケーションソフトウェアのTeachers2Parents、教育ソフトウェアのEdusoftなど、他の教育技術ブランドも傘下に収めている。
学校を狙ったサイバー攻撃は前代未聞ではないものの(国立サイバーセキュリティセンターは今年初め、各機関に対しセキュリティ対策を強化するよう警告した)、サプライチェーンを狙うという昔ながらの戦術が教育分野にも広がっているようだ。®
