ノッティンガム大学でデータ侵害、45万人超の学生に影響

ノッティンガム大学は水曜日、ハッキンググループが同大学の学生記録システムへのアクセスに成功したことを公式に認めました。この侵害は在学生と卒業生の双方に影響を及ぼしています。

ノッティンガム大学は7,000人のスタッフと46,000人超の学生を擁する公立研究大学で、英国内トップ20、世界トップ100にランクインしています。

同大学はBleepingComputerへの電子メール声明の中で、今回の事件で「大量のデータ」が流出したと説明し、この侵害について英国情報コミッショナーオフィス（ICO）に報告済みであることを明らかにしました。

「ノッティンガム大学はサイバー事件の被害を受けており、学生記録システム内の大量のデータが、広く知られたサイバー犯罪グループによってアクセスされました。プラットフォームを管理するサードパーティと協力し、フォレンジック調査を主導しています」と大学側は述べています。

「私たちは保有するデータのプライバシーとセキュリティを真剣に捉えており、本件についてAction FraudおよびInformation Commissioner’s Officeに報告しました」と付け加えています。

大学側はまだ攻撃者の特定には至っていませんが、恐喝グループ「ShinyHunters」が火曜日に犯行声明を出し、盗んだとされる文書のアーカイブを証拠として公開しました。

ダークウェブのリークサイトへの投稿で、このサイバー犯罪グループはノッティンガム大学およびマレーシア・中国キャンパスから、学生の財務データ、請求・決済情報、クレジットカードや支払い詳細、キャンパスポータルのエクスポートデータを含む40GB超の文書を盗み出したと主張しています。

ShinyHuntersはさらに、盗まれた文書には影響を受けた学生のフルネーム、自宅住所、IPアドレス、電話番号、生年月日が含まれているとも述べています。

​流出データを分析した侵害通知サービスHave I Been Pwned は水曜日に発表し、今回のデータ侵害が現役・元学生合わせて454,600人に影響すると明らかにしました。流出情報には「メールアドレスのほか、氏名・住所・電話番号・民族・障害・パスポート番号、学籍登録や授業料支払いに関する情報など、広範な個人情報」が含まれているとしています。

ShinyHuntersによるPeopleSoftデータ窃取攻撃

BleepingComputerが入手した情報によれば、この攻撃はより広範なデータ窃取キャンペーンの一環です。ShinyHuntersはクラウドおよびオンプレミスのOracle PeopleSoftインスタンスへの侵害を通じ、世界100を超える組織からデータを盗み出しています。

PeopleSoftは、人事・財務・給与・サプライチェーン・調達・キャンパス管理といった大規模業務を管理するためのエンタープライズ業務ソフトウェアスイートです。

ShinyHuntersはBleepingComputerに対し、攻撃にはゼロデイと既知の脆弱性を組み合わせた「ガジェットチェーン」を使用していると説明しました。また、すべてのシステムで攻撃が成功するわけではなく、それは各インスタンスの設定によって悪用の成否が左右されるためだと付け加えています。

BleepingComputerはOracleに対し、PeopleSoftのゼロデイが実際に悪用されていることを把握しているか確認を求めましたが、現時点では回答を得られていません。

ノッティンガム大学は、最近データ侵害を公表した英国の大学として2校目となります。オックスフォード大学は先週、キャリアサービスプラットフォーム「CareerConnect」が5月28日に侵害されたことを明らかにしました。

オックスフォード大学は5月初旬、ShinyHuntersによるInstructureのCanvas学習管理システム（LMS）への侵害を受け、2件目のデータ侵害を報告しました。