セキュリティ
先月の侵害とはまったく別の攻撃だとか。それなら問題ないのでしょうか
就職活動中のオックスフォード大学の学生たちに、またも衝撃的なニュースが届きました。わずか1か月の間に、大学が利用する外部プラットフォームプロバイダーが2度目の侵害を受けたのです。
今回の侵入ターゲットとなったのは、Group GTIが提供する同大学のCareerConnectプラットフォームです。ユーザーの氏名とメールアドレスが流出し、シングルサインオン(SSO)を使用していないユーザーについては、暗号化されたパスワードも漏洩しました。
CareerConnectはオックスフォード大学のキャリアサービス部門の一つで、学生や卒業生の就職機会探しを支援するプラットフォームです。在学生、卒業生、研究スタッフ、採用担当者が利用できます。
GTIが「TargetConnect」として販売するこのプラットフォームの基盤技術は、同社のウェブサイトによれば、英国内外の複数の大学でも採用されているとのことです。
オックスフォード大学は、5月28日に発生した今回の攻撃が「セキュリティ上の脆弱性」を悪用したものであり、その脆弱性はすでに修正済みであると説明しています。
GTIはセキュリティインシデントの詳細を公式に開示しておらず、本紙の取材依頼にも回答しませんでした。このロンドンに拠点を置くテック企業は、何人のユーザーが影響を受けたのか、またデータが実際に盗まれたのかについても確認していません。
影響を受けた対象者の種別についても明確な発表はありませんが、オックスフォード大学の告知では、攻撃後にパスワードの強制リセットを実施した対象として「卒業生、研究スタッフ、採用担当者ユーザー」が挙げられています。
「コース情報、アップロードされたファイル、予約情報、または財務情報が今回のインシデントに関与した証拠はありません」と、同大学の告知は続けています。
「GTIは、今回の侵害がフィッシング攻撃につながる可能性のある認証情報の収集を目的としたものであったとの見解を示しています。」
大学は現役学生を影響を受けた対象には含めていませんが、学生新聞Cherwellに対しては、氏名とメールアドレスが侵害された可能性があると伝えており、今回の攻撃は先月InstructureのCanvasを標的とした攻撃とは完全に別件であると説明しています。
二度の被害
オックスフォード大学は、学校、カレッジ、大学など約8,800の教育機関に影響を与えたCanvasの大規模侵害においても被害を受けた機関の一つでした。Canvasは、さまざまな教育機関が利用する別のプラットフォームです。
この攻撃はShinyHuntersが試験シーズンに合わせて意図的に仕掛けたと見られており、複数の国の学生が年間で最も重要な時期に、学習教材、試験、成績へのアクセスを失いました。
攻撃の規模は甚大で、最大2億7,500万人もの学生、教師、スタッフのユーザー名、メールアドレス、コース名、登録情報、メッセージが影響を受けました。
事態の深刻さに加え、最悪のタイミングが重なり、Instructureはすべてのデータのオンライン流出を防ぐためにShinyHuntersと「合意」を結ぶに至りました。
サイバーセキュリティ業界の文脈では、これはInstructureが盗まれたデータを削除するという犯罪者グループの約束と引き換えに、恐喝金を支払ったことを意味します。
「データ消去のデジタル的な確認(シュレッドログ)を受け取りました」とInstructureは述べ、「このインシデントの結果として、Instructureの顧客が公的にも私的にも恐喝されることはないと知らされています」と付け加えました。®
