ハーバード大学は週末、卒業生・渉外・開発部門(Alumni Affairs and Development)のシステムが音声フィッシング攻撃により侵害され、学生、卒業生、寄付者、職員、教員の個人情報が流出したことを公表しました。
流出したデータには、メールアドレス、電話番号、自宅および勤務先住所、イベント参加記録、寄付の詳細、そして「大学の資金調達および卒業生とのエンゲージメント活動に関連する人物情報」が含まれます。
しかし、ハーバード大学の副学長兼最高情報責任者(CIO)であるKlara Jelinkova氏と、卒業生・渉外・開発担当副学長であるJim Husson氏によると、侵害されたITシステムには、社会保障番号、パスワード、クレジットカード情報、その他の財務情報は含まれていなかったとのことです。
ハーバード大学の担当者は、今回のデータ侵害で以下のグループおよび個人のデータが流出した可能性があると考えています:
- 卒業生
- 卒業生の配偶者、パートナー、および卒業生の未亡人/未亡夫
- ハーバード大学への寄付者
- 在学生および元学生の保護者
- 一部の在学生
- 一部の教員および職員
この私立アイビーリーグ研究大学は、法執行機関および外部のサイバーセキュリティ専門家と協力して今回のインシデントを調査しており、11月22日には、攻撃で情報にアクセスされた可能性のある個人に対してデータ侵害通知を送付しました。
「2025年11月18日(火)、ハーバード大学は、卒業生・渉外・開発部門で使用されている情報システムが、電話を用いたフィッシング攻撃の結果、権限のない第三者によってアクセスされていたことを発見しました」と、通知書には記されています。
「大学は直ちに攻撃者のシステムへのアクセスを遮断し、さらなる不正アクセスを防止する措置を講じました。私たちは、あなたに関する情報がアクセスされた可能性があることをお知らせするとともに、大学から送られてきたかのように見える不審な連絡に注意していただくために、この通知をお送りしています。」
大学はまた、影響を受けた可能性のある人々に対し、大学を名乗る電話、テキストメッセージ、メールに対して警戒するよう呼びかけており、とくにパスワードのリセットや機微な情報(例:パスワード、社会保障番号、銀行情報)を求めるものには注意するよう求めています。
本日早朝にBleepingComputerがコメントを求めた時点では、ハーバード大学の広報担当者はすぐには対応できない状況でした。
10月中旬には、ハーバード大学は、Clopランサムウェア集団が、OracleのE-Business Suiteサーバーのゼロデイ脆弱性を悪用して学校のシステムに侵入したと主張し、同大学をデータ流出恐喝サイトに掲載したことを受けて、別のデータ侵害について調査しているとBleepingComputerに伝えていました。
他の2つのアイビーリーグ校であるプリンストン大学とペンシルベニア大学も、今月初めにデータ侵害を公表しており、いずれも攻撃者が寄付者の情報にアクセスしたことを認めています。
