ハーバード・ペンシルベニア大学の個人情報流出:名門校も狙われる時代
悪名高いハッカー集団が名門大学2校から200万人分の個人情報を盗み出し、身代金要求を拒否されると公開。大学のサイバーセキュリティの脆弱性が露呈。
200万人を超える個人情報が、一夜にして闇のウェブに流出した。被害者は、ハーバード大学とペンシルベニア大学の卒業生や寄付者たちだ。
悪名高いハッカー集団ShinyHuntersが今週水曜日、両大学から盗み出したとする膨大なデータを自らのリークサイトで公開した。各大学から100万件を超える記録が含まれており、メールアドレス、電話番号、住所、寄付履歴、イベント参加記録など、個人の詳細な情報が含まれている。
社会工学という見えない脅威
ペンシルベニア大学は昨年11月、「開発・卒業生活動関連の特定の情報システム」への侵入を確認した。興味深いのは、ハッカーたちが大学の公式メールアドレスから卒業生に直接ハッキングを報告するメールを送信していたことだ。
大学側は「社会工学」による攻撃と説明している。これは、ハッカーが誰かになりすまし、通常なら絶対にしないような行動を相手に取らせる手法だ。一方、ハーバード大学も同様の被害を受けたが、こちらは「音声フィッシング」、つまり電話を使って相手を騙し、悪意のあるリンクをクリックさせる攻撃だった。
TechCrunchの検証によると、流出したデータの一部は実際の卒業生情報や学生ID番号と一致しており、データの真正性が確認されている。
身代金を拒否した代償
ハッカー集団は、なぜこれらのデータを公開したのか。答えは単純だ。両大学が身代金の支払いを拒否したからである。
ShinyHuntersのような犯罪集団は、盗んだデータを公開しない代わりに金銭を要求する「二重恐喝」を常套手段とする。被害者が支払いを拒否すれば、報復としてデータを公開する。今回もまさにそのパターンだった。
興味深いことに、ペンシルベニア大学への攻撃では、ハッカーたちが政治的動機を装い、「我々は遺産、寄付者、資格のないアファーマティブアクション入学者を愛しているため、愚か者を雇用し入学させる」といった挑発的なメッセージを卒業生に送っていた。しかし、ShinyHuntersに政治的動機があるという証拠はない。
教育機関の新たな現実
名門大学といえども、サイバー攻撃の前では無力だった。これは日本の大学にとっても他人事ではない。東京大学や早稲田大学、慶應義塾大学なども同様のリスクを抱えている。
大学は企業とは異なる特殊な環境だ。多数の学生、教職員、卒業生が複雑なネットワークでつながり、情報の出入りが激しい。さらに、学術の自由という名目で、比較的オープンなシステム運用を求められることも多い。
しかし、今回の事件が示すのは、大学が保有する個人情報の価値の高さだ。卒業生の職業、収入レベル、寄付履歴は、詐欺師にとって格好の標的となる。日本でも、大学の同窓会名簿を狙った攻撃が増加する可能性がある。
関連記事
米国防総省が確認:敵対勢力が商業的位置情報データを使い、戦場の米軍兵士を追跡・監視。広告テクノロジー産業が「国家安全保障上の脅威」として問われ始めた。
ブラウザのサイドチャネル攻撃「FROST」が、SSDのタイミング計測により閲覧履歴やアプリ情報を盗み見る。一般ユーザーから企業まで影響する新手法を解説。
Googleのセキュリティエンジニアが内部データを使い予測市場Polymarketで不正取引を行ったとして逮捕。仮想通貨の透明性が皮肉にも犯罪者の足跡を暴いた事件の全貌と、日本社会への示唆を読み解く。
英国ビザ申請の非公式サイト「UK Visa Portal」が、少なくとも10万件のパスポートや自撮り写真を公開状態で放置。セキュリティ問題が未解決のまま続いており、個人情報保護の観点から深刻な懸念を呼んでいます。
意見
この記事についてあなたの考えを共有してください
ログインして会話に参加