概要

プリンストン大学は11月15日、同窓生、寄付者、教職員、学生、保護者、その他のコミュニティメンバーに関する機密個人情報を含む「アドバンストメントデータベース」が、11月10日に外部アクターによって侵害されたことを確認しました。不正アクセスは、大学のセキュリティチームが事態を発見し対応するまでの24時間未満で阻止されました。

漏洩した情報の詳細

侵害されたデータベースには、プリンストン大学コミュニティのメンバーの氏名、メールアドレス、電話番号、自宅および勤務先の住所を含む、大量の個人データが含まれています。また、大学への資金調達活動や寄付に関する記録も含まれており、影響を受けた個人の慈善活動の履歴が露呈する可能性があります。

しかし、プリンストン大学の予備調査では、社会保障番号、パスワード、クレジットカードや銀行口座番号などの金融情報といった、特に機密性の高いデータカテゴリは含まれていなかったことが判明しています。さらに、連邦プライバシー法で保護されている詳細な学生記録や、寄付者でもある教職員以外の雇用情報も含まれていませんでした。

大学の対応と今後の対策

大学のチームは、侵害の全容を把握し、攻撃者によってどのような情報がアクセスされたかを評価するため、外部のサイバーセキュリティ専門家や法執行機関と連携しています。大学は、不正アクセス期間中にデータベース内のどのデータが閲覧またはアクセスされたかを正確には把握していないと認めています。

今回の調査によると、他の大学のテクノロジーシステムが侵害された兆候は見られず、今回の侵害は単一のアドバンストメントデータベースに限定されていた可能性が高いとされています。

社会工学とフィッシングの危険性

プリンストン大学は、11月15日に影響を受けた可能性のある個人に送られたメッセージで、不審な通信に警戒し続けるよう強く促しています。大学は、正当なプリンストン大学の担当者が、社会保障番号、パスワード、銀行情報などの機密情報を、一方的な電話、テキストメッセージ、または電子メールで要求することは決してないと強調しました。

大学を装った通信の正当性について不確実な場合は、リンクをクリックしたり添付ファイルをダウンロードしたりする前に、既知の大学の担当者に確認するようアドバイスしています。これは、大規模なデータ侵害後に通常発生するソーシャルエンジニアリングやフィッシング攻撃のリスクが高まることを踏まえると特に重要です。攻撃者は、侵害の公衆知識を利用して、影響を受けた組織から発信されたかのように見せかける説得力のある詐欺的な通信を作成しようとします。

まとめ

プリンストン大学は、調査の進捗状況に応じて影響を受けた個人に最新情報を提供するとしています。大学は引き続き外部のサイバーセキュリティ専門家や法執行機関と協力し、攻撃者の特定と動機の解明に努めていますが、これらの調査努力に関する追加の詳細はまだ公表されていません。

この侵害によって自身の情報が影響を受けた可能性があると考える個人は、個人情報を注意深く監視し、潜在的な身元盗用や詐欺から身を守るために適切な予防策を講じることが奨励されています。この事件は、教育機関が多様なコミュニティに関する個人情報を含む大規模なデータベースを保護する上で直面する継続的な課題を浮き彫りにしています。

---

元記事: https://gbhackers.com/princeton-university-data-breach/