カルガリーのマウント・ロイヤル大学は、大学のネットワークに侵入されたハッカーが、ファイルストレージシステムからデータを盗み出した後、削除したことを明らかにしました。
MRUは公式サイトに掲載した更新情報の中で、6月17日に発生したサイバー攻撃を受け、事案の調査と復旧作業を支援するため、技術チームおよび外部のサイバーセキュリティ専門家を投入したと説明しています。
今回の事案により、オンラインサービスやインターネットアクセス、一部の内部システムを含む、大学の幅広いシステムに支障が出ました。
MRUは100年以上の歴史を持つ公立大学で、現在11,560人の学生を抱え、うち12,500人が学部生です。
これまでの調査で、攻撃者が学生と職員がファイル保存に利用しているドライブに保存されたデータを盗み出し、復旧作業を妨害するため元のコピーを消去していたことが確認されています。
「大学の『Hドライブ』内の特定のフォルダにあったデータが、権限のない第三者にアクセスされ、持ち出されたことが調査により判明したことを、コミュニティの皆様に残念ながらお知らせしなければなりません」と発表文には記されています。
大学側は、今回の事案がHドライブ内の特定フォルダに影響を及ぼしたと説明しており、そこには現在および過去の学生、現在および過去の大学職員、そして詳細不明な「その他の個人」に関する情報が含まれていたとしています。
さらに攻撃者は、部門データを保存していた別の「J」ドライブも消去しました。「現時点では、Jドライブのデータが削除される前にアクセスまたはコピーされたという証拠は確認されていません」とMRUは述べています。
「削除されたJドライブのデータの復旧に現在も取り組んでいますが、完全な復旧はできない可能性があります」
大学は、今回の事案をアルバータ州情報プライバシー commissioner(コミッショナー)および法執行機関に報告済みであるとしています。
大学によると、流出したデータの内容は個人によって異なり、しかもすでに削除されているため、一人ひとりへの影響を正確に把握するのは容易ではなく、時間を要するとのことです。
影響を受けた個人が特定され次第、それぞれに個別の通知を通じて直接連絡するとしています。
CMD Organizationが犯行を主張
今回のMRUへの攻撃は、脅迫グループ「CMD Organization」が犯行声明を出しており、同グループはパスポートのスキャン画像をはじめとする機密文書など、盗み出したとされるデータのサンプルを公開しています。
この脅威アクターは30BTC(現在のレートで約190万ドル)の身代金を要求し、応じなければ盗んだ情報一式を6日以内に流出させると大学側に通告しました。

CMD Organizationは、盗み出したデータを最高額の入札者にのみ独占的に販売するという、オークション形式の仕組みを採用しているようです。この脅迫グループは現在、恐喝サイト上に30の組織を掲載しており、クリアウェブとダークウェブの両方にポータルサイトを運営しています。
MRUは、影響を受けたシステムの復旧には数週間から数か月かかる可能性があるとし、新たな詳細が判明し次第、随時情報を更新するとしています。
また大学は、現職の全職員および過去5年間に雇用されていた個人に対し、2年間のクレジットモニタリングと個人情報盗難保護サービスを提供するとしています。
攻撃者より先に、すべての防御層をテストせよ
セキュリティチームが記録できているのは、成功した攻撃のうちわずか54%であり、アラートが出るのはさらに少ない14%にとどまります。残りは環境内を検知されないまま通過しています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーションによってSIEMやEDRのルールをテストし、脅威の見逃しを防ぐ方法を紹介しています。