大規模データ侵害の主張
ペンシルベニア大学は先週、「ハッキングされた」という内容の不快なメールが学生や卒業生に送信される事件に見舞われました。当初、大学側はこのメールを「詐欺的なもの」として軽視していましたが、あるハッカーがこの事件の責任を認め、実際には120万件に及ぶ寄付者の記録と内部文書が盗まれた、はるかに大規模な侵害であったと主張しています。
ハッカーはBleepingComputerに対し、大学のシステムへの侵入は広範囲にわたり、複数のシステムにアクセスしたと語っています。彼らは、従業員のPennKey SSOアカウントへの「完全なアクセス」を獲得し、これにより大学のVPN、Salesforceデータ、Qlik分析プラットフォーム、SAPビジネスインテリジェンスシステム、SharePointファイルにアクセスできたと述べています。
流出した個人情報の詳細
ハッカーの主張によると、約120万人の学生、卒業生、寄付者に関するデータが流出しました。これには以下の情報が含まれるとされています。
- 氏名
- 生年月日
- 住所
- 電話番号
- 推定純資産
- 寄付履歴
- 宗教、人種、性的指向などの人口統計学的詳細
ハッカーは、これらのシステムにアクセスし、データを盗んだ証拠として、スクリーンショットとデータサンプルをBleepingComputerとオンラインで共有しています。彼らは、10月30日にペンシルベニア大学のシステムに侵入し、10月31日までにデータダウンロードを完了したと述べています。その後、侵害された従業員のアカウントがロックされ、アクセスを失ったとのことです。
大学の対応とハッカーの動機
アクセスが取り消された後も、ハッカーはSalesforce Marketing Cloudへのアクセスを維持しており、これを利用して約70万人の受信者に対し、不快な内容のメールを大量送信しました。侵入方法については詳細を明かしませんでしたが、ペンシルベニア大学のセキュリティの不備が原因であると指摘しています。
ハッカーは、SharePointおよびBoxシステムから盗んだとされるスプレッドシート、寄付関連資料、その他のファイルを含む1.7GBのアーカイブを公開しています。彼らは大学を恐喝する意図はなく、「彼らが支払うとは思わないし、データから十分な価値を自分で引き出すことができる」と述べています。
動機については政治的なものではないとしつつも、「我々はこれらの縁故主義的な機関に何の愛情も抱いていない」と語り、主な目的は「広大で、驚くほど裕福な寄付者データベース」であったと明かしています。寄付者データベース自体はまだ公開されていませんが、ハッカーは1〜2ヶ月以内に公開する可能性があると主張しています。
これらの主張についてBleepingComputerが問い合わせたところ、ペンシルベニア大学は「引き続き調査中である」と回答しています。
寄付者への注意喚起
大量の寄付者データが流出した可能性があるため、ペンシルベニア大学の寄付者は、標的型フィッシングやソーシャルエンジニアリングの試みに対して警戒を怠らないよう強く推奨されます。攻撃者は盗まれた情報を使用して、大学になりすまして詐欺的な寄付を募ったり、寄付者の認証情報を入手してオンラインアカウントを侵害したりする可能性があります。
寄付者は、寄付に関する予期せぬメッセージを受け取った場合、不審に思い、返信する前に大学に直接連絡してその正当性を確認する必要があります。