ハーバード・ペンシルベニア大学の個人情報流出：名門校も狙われる時代

200万人を超える個人情報が、一夜にして闇のウェブに流出した。被害者は、ハーバード大学とペンシルベニア大学の卒業生や寄付者たちだ。

悪名高いハッカー集団ShinyHuntersが今週水曜日、両大学から盗み出したとする膨大なデータを自らのリークサイトで公開した。各大学から100万件を超える記録が含まれており、メールアドレス、電話番号、住所、寄付履歴、イベント参加記録など、個人の詳細な情報が含まれている。

社会工学という見えない脅威

ペンシルベニア大学は昨年11月、「開発・卒業生活動関連の特定の情報システム」への侵入を確認した。興味深いのは、ハッカーたちが大学の公式メールアドレスから卒業生に直接ハッキングを報告するメールを送信していたことだ。

大学側は「社会工学」による攻撃と説明している。これは、ハッカーが誰かになりすまし、通常なら絶対にしないような行動を相手に取らせる手法だ。一方、ハーバード大学も同様の被害を受けたが、こちらは「音声フィッシング」、つまり電話を使って相手を騙し、悪意のあるリンクをクリックさせる攻撃だった。

TechCrunchの検証によると、流出したデータの一部は実際の卒業生情報や学生ID番号と一致しており、データの真正性が確認されている。

身代金を拒否した代償

ハッカー集団は、なぜこれらのデータを公開したのか。答えは単純だ。両大学が身代金の支払いを拒否したからである。

ShinyHuntersのような犯罪集団は、盗んだデータを公開しない代わりに金銭を要求する「二重恐喝」を常套手段とする。被害者が支払いを拒否すれば、報復としてデータを公開する。今回もまさにそのパターンだった。

興味深いことに、ペンシルベニア大学への攻撃では、ハッカーたちが政治的動機を装い、「我々は遺産、寄付者、資格のないアファーマティブアクション入学者を愛しているため、愚か者を雇用し入学させる」といった挑発的なメッセージを卒業生に送っていた。しかし、ShinyHuntersに政治的動機があるという証拠はない。

教育機関の新たな現実

名門大学といえども、サイバー攻撃の前では無力だった。これは日本の大学にとっても他人事ではない。東京大学や早稲田大学、慶應義塾大学なども同様のリスクを抱えている。

大学は企業とは異なる特殊な環境だ。多数の学生、教職員、卒業生が複雑なネットワークでつながり、情報の出入りが激しい。さらに、学術の自由という名目で、比較的オープンなシステム運用を求められることも多い。

しかし、今回の事件が示すのは、大学が保有する個人情報の価値の高さだ。卒業生の職業、収入レベル、寄付履歴は、詐欺師にとって格好の標的となる。日本でも、大学の同窓会名簿を狙った攻撃が増加する可能性がある。