概要:大学を非難する不快なメールが拡散
2025年10月31日、ペンシルベニア大学はサイバーセキュリティインシデントに見舞われ、学生や卒業生に「We got hacked (Action Required)」という件名の不快なメールが多数送信されました。これらのメールは、データが侵害によって盗まれたと主張し、大学のセキュリティ対策や入学方針を厳しく非難しています。
攻撃メールの内容と送信元
BleepingComputerが入手したメールには、大学のセキュリティ対策と入学方針を厳しく批判する内容が含まれていました。メールには次のように記されています。
- 「ペンシルベニア大学は、ひどいエリート主義の機関であり、セキュリティ対策は劣悪で、全く実力主義ではありません。」
- 「我々は、縁故者、寄付者、そして不適格なアファーマティブ・アクションの入学者を好むため、愚か者を雇用し入学させています。」
- 「FERPA(すべてのデータが漏洩するでしょう)のような連邦法や、SFFAのような最高裁判所の判決を破ることを愛しています。」
これらのメールは、ペンシルベニア大学教育大学院(gse@connect.upenn.edu)や大学職員を含む、複数のペンシルベニア大学のメールアドレスから送信されました。BleepingComputerは、これらがSalesforce Marketing Cloudでホストされている大学のメーリングリストプラットフォーム「connect.upenn.edu」経由で送信されたことを確認しましたが、このプラットフォームの大学アカウントが侵害されたかどうかは現時点では不明です。
大学側の緊急対応と注意喚起
ペンシルベニア大学の広報担当者はBleepingComputerに対し、メールの存在を認識しており、インシデント対応チームがこの侵害に積極的に対処していることを確認しました。広報担当者は次のように述べています。
「ペンシルベニア大学教育大学院から送られたように見える詐欺メールが流通しています。これは明らかに偽物であり、非常に攻撃的で不快なメッセージの内容は、ペンシルベニア大学やペンシルベニア大学教育大学院の使命や行動を反映するものではありません。大学の情報セキュリティオフィスはこの状況を認識しており、インシデント対応チームが積極的に対処しています。」
大学はウェブサイトにバナーを追加し、これらのメールについて警告するとともに、すでに認識しているためインシデントを報告しないよう受信者に求めています。バナーメッセージには、「メッセージは単に無視または削除してください。ただし、懸念を引き起こすような新しいまたは異なるメッセージを受信した場合は、地域のITサポートプロバイダー(LSP)に連絡してください」と記載されています。
BleepingComputerはペンシルベニア大学にさらなる質問をしましたが、現時点ではこれ以上共有できる情報はないと伝えられました。