概要
ペンシルベニア大学は、サイバー攻撃により大学の開発および同窓会関連の多数の内部システムが侵害され、データが盗まれたことを確認しました。
大学の発表によると、攻撃者はソーシャルエンジニアリング攻撃で盗まれた認証情報を使用してシステムに侵入しました。大学は迅速にシステムをロックダウンし、それ以上の不正アクセスを防ぎましたが、攻撃者によって不正なメールがコミュニティに送信され、情報が盗まれました。
ペンシルベニア大学はFBIにこの侵害を通知し、CrowdStrikeと協力してセキュリティインシデントの調査を進めています。
攻撃の詳細
BleepingComputerの報道によると、脅威アクターは10月30日にペンシルベニア大学のシステムに侵入しました。彼らは従業員のPennKey SSOアカウントを悪用し、大学のSalesforceインスタンス、Qlik分析プラットフォーム、SAPビジネスインテリジェンスシステム、およびSharePointファイルへのアクセスを獲得しました。
このアクセスを利用して、攻撃者はSharePointおよびBoxストレージプラットフォームから1.71 GBの内部文書を盗み出しました。これにはスプレッドシート、文書、財務情報、同窓会マーケティング資料が含まれます。
さらに、攻撃者は120万件の記録を含むSalesforceの寄付者マーケティングデータベースも盗んだと主張しています。このデータサンプルには、以下の機密情報を含む158の異なるフィールドが含まれていました。
- 個人識別情報(PII): 氏名、生年月日、性別、自宅および郵送先住所、電話番号、メールアドレス。
- 財務および寄付者データ: 寄付履歴、資産評価、生涯コミットメント額。
- 雇用および所属詳細: 雇用主、役職、学術的所属。
攻撃後の行動と動機
アクセスが取り消された後も、攻撃者はSalesforce Marketing Cloudアカウントへのアクセスを維持しており、これを利用して70万人の受信者に対し不快な一斉メールを送信しました。
ハッキングフォーラムへの投稿で、攻撃者は現在データ記録を漏洩させていないものの、1〜2ヶ月以内に漏洩させる可能性があると述べています。攻撃者は攻撃が政治的動機によるものではないと主張し、その目的はペンシルベニア大学の「広大で非常に裕福な寄付者データベース」であったと述べていますが、彼らのメールやフォーラムの投稿には、大学のDEI(多様性、公平性、包摂性)の慣行、入学政策、および「縁故主義」に対する厳しい批判が散りばめられていました。
大学の対応と今後の対策
ペンシルベニア大学は、従業員へのソーシャルエンジニアリング攻撃に関するトレーニングや、監視およびセキュリティ対策の強化を含む、システムセキュリティの向上に取り組んでいます。
調査完了後、大学はデータ侵害の影響を受けた人々に通知する予定です。また、ペンシルベニア大学は学生および同窓生に対し、フィッシング詐欺やソーシャルエンジニアリング攻撃の可能性のある不審な電話やメールに注意するよう警告しています。