概要
ペンシルベニア大学は火曜日、先週発生したサイバー攻撃により大学データが盗まれたことを確認しました。この攻撃では、同窓生や関係者に対し、大学の公式メールアドレスから不審なメールが送信されていました。当初、大学はこのメールを「詐欺的なもの」としていましたが、その後、ハッカーの主張通りデータが流出したことを認めました。
攻撃の詳細と手口
ハッカーが送信したメッセージには、「我々はハッキングした」「FERPA(家族教育の権利とプライバシーに関する法律)のような連邦法を破るのが大好きだ(あなたのデータはすべて漏洩するだろう)」「これ以上我々に金を払うのをやめろ」といった内容が含まれていました。
大学の声明によると、10月31日に「ペンシルベニア大学の開発および同窓会活動に関連する一部の情報システム」が侵害されたことが判明しました。大学職員は迅速にシステムをロックダウンし、それ以上の不正アクセスを防ぎましたが、データが盗まれ、不快で詐欺的なメールがコミュニティに送信される前には間に合いませんでした。
この侵害は、個人を騙してログイン情報などの機密情報を手渡させる「ソーシャルエンジニアリング攻撃」によって発生したとされています。大学の従業員は、一部の高官が多要素認証(MFA)の要件を免除されていた可能性を指摘しましたが、大学の広報担当者はMFAに関するコメントを拒否しました。
流出した情報の種類と大学の対応
「The Daily Pennsylvanian」の報道によると、ハッカーは大学の寄付者に関連する文書、銀行取引明細、および個人識別情報(PII)を取得したと主張しています。ハッカーは金銭的な動機があったと述べています。
大学は、法律の要件に従い、個人情報がアクセスされた影響を受けた個人に連絡を取ると発表しました。しかし、これらの通知がいつ行われるのか、何人が影響を受けたのか、あるいは具体的にどのような情報がアクセスされたのかについては、現時点では明らかにされていません。
背景と類似事例
今回のペンシルベニア大学への攻撃は、アファーマティブ・アクション政策への不満が動機となっている可能性も示唆されています。ハッカーが送信したメールには、「我々はレガシー、寄付者、そして資格のないアファーマティブ・アクションの入学者を愛しているから、愚か者を雇い、入学させる」というメッセージが含まれていました。
今年初めには、コロンビア大学もハッキングされ、約87万人の学生および出願者の機密情報(社会保障番号や市民権ステータスを含む)がアクセスされる事件が発生しました。コロンビア大学のハッカーも、アファーマティブ・アクションの慣行を調査するために大学のデータにアクセスしようとしたと報じられています。これらの事例は、大学が直面するサイバーセキュリティの脅威と、特定の社会政策に対する抗議がサイバー攻撃の動機となり得る現状を浮き彫りにしています。
セキュリティ対策の重要性
今回の事件は、ソーシャルエンジニアリング攻撃の巧妙さと、多要素認証のような基本的なセキュリティ対策の徹底がいかに重要であるかを改めて示しています。特に、機密情報を扱う機関においては、すべての関係者に対する厳格なセキュリティプロトコルの適用が不可欠です。