インドのデジタル教育への急速な転換は、入学、学習、授業料の支払いを近代化しました。しかし、サイバー犯罪者にとって利益をもたらす標的も生み出してしまいました。
セキュリティ研究者は、学生データを武器化して標的を絞ったソーシャルエンジニアリング、フィッシング、および金融詐欺キャンペーンを仕掛ける脅威アクターが急増していることを観察しています。
一般的なスパムとは異なり、これらの攻撃は極めて巧妙にカスタマイズされています。脅威アクターは、大学、学習塾、サードパーティベンダー全体の分散されたデータエコシステムを悪用して、機密情報を盗みます。
名前、学業成績、連絡先などの正確な情報を手にした攻撃者は、奨学金、インターンシップ、学期授業料をめぐる説得力のあるスキャムを仕掛けます。
サイバー犯罪者は教育部門を悪用するための構造化されたアプローチに従います。まず、侵害されたベンダーポータル、偽の大学ウェブサイト、またはインサイダー内部告発を通じて学生データを入手します。
例えば、2026年5月、研究者はインドの学校プラットフォームから1200万件以上のレコードを含む暗黒ウェブフォーラムの大規模なデータベースを発見しました。
同年初めの別の侵害では、支払い詳細と試験センターの予約を含む682,000件の学生記録が露出しました。
データが確保されると、攻撃者はメール、SMS、WhatsAppを通じて学生をターゲットにします。試験の更新や求人の申し出に関する緊急的で公式らしいメッセージを使用して信頼を構築するのです。
学生は自らの学業の将来を確保したいという思いから、送信元を十分に検証することなく、迅速に対応することが多いのです。
信頼を確立した後、悪用フェーズが始まります。攻撃者は被害者をだまして、ログイン認証情報を共有させたり、ワンタイムパスワードを入力させたり、直接支払いを行わせたりします。
最終的な目的は金銭的利益であり、偽の入学金の徴収から学生のアイデンティティの乗っ取りまで、より広範な金融犯罪に至ります。
これらの攻撃の影響は、単なるデータ盗難をはるかに超えています。場合によっては、学生は大規模な金融犯罪への無意識の参加者になります。
2026年2月、ベンガルール工科系大学の学生の銀行口座を使用して、2日間でほぼ7億ルピーの違法な資金がルーティングされました。
その学生は知人と銀行口座の詳細情報を共有していたため、無意識のうちに自分の口座をより大規模なサイバー犯罪ネットワークの資金移動用口座に変えてしまっていたのです。
内部脅威と詐欺的なブランド偽装も重大なリスクをもたらします。昨年後期には、タネの元学業顧問が、アクティブな大学スタッフになりすまして詐欺的に金銭を徴収するために学生記録を悪用していたことが判明しました。
さらに、攻撃者は正当な大学ウェブサイトを頻繁に複製して、疑わない申請者から直接、認証情報と授業料を収集しています。Cyfirmaが述べた通りです。
これらのインシデントは、日和見的なスキャムからデータ駆動の組織的なキャンペーンへの明確なシフトを示しています。
1件の成功した攻撃は、学生にとって長期的なアイデンティティ盗難、経済的損失、さらには法的トラブルを引き起こす可能性があります。
一方、教育機関は評判の損傷を被り、侵害の調査と修復に多大な運用コストを費やします。
この急速に拡大する脅威に対抗するために、学校と大学はより厳格なデータガバナンスを実装し、サードパーティベンダーを緊密に監視する必要があります。
学生と保護者のサイバーセキュリティ認識を向上させることは、損害が及ぶ前に標的を絞ったソーシャルエンジニアリング攻撃を見抜くために同様に重要です。
翻訳元: https://cyberpress.org/indian-student-data-exploited/
