ペンシルベニア大学(Penn)は、8月に攻撃者がOracle E-Business Suiteサーバーから個人情報を含む文書を盗み出したことを受け、新たなデータ侵害が発生したと発表しました。
この私立アイビーリーグ研究大学は1740年に設立され、教員数は5,827人、学生数は29,109人で、学生対教員比は8対1です。また、2025年6月30日時点で、学術運営予算は47億ドル、基金は248億ドルとなっています。
ペンシルベニア大学は、ハッカーが学内システムに侵入し、Pennの開発および同窓関連活動に関するデータを盗み出した後、2025年10月下旬に別の侵害を公表しました。攻撃者は、約120万人の学生、卒業生、寄付者に属する個人情報を流出させたと主張しています。
ここ数週間、他のアイビーリーグ校も一連のボイスフィッシング攻撃の標的となっており、ハーバード大学やプリンストン大学もまた、開発および同窓関連活動に使用されるシステムがハッカーに侵害され、学生、卒業生、寄付者、職員、教員の個人情報が盗まれたと報告しています。
PennのOracle EBS侵害
今週、ペンシルベニア州メイン州司法長官事務所に提出された侵害通知書の中で、Pennは、攻撃者がOracle E-Business Suite(EBS)財務アプリケーションの、これまで知られていなかったセキュリティ脆弱性(ゼロデイ脆弱性としても知られる)を悪用し、1,488人分の個人情報を盗み出したと述べています。
しかし、このインシデントによって影響を受けた可能性のある人数は、学校側が今回の攻撃でデータが侵害された個人の正確な数をまだ公表していないことから、はるかに多いとみられます。
「Penn独自の調査の過程で、PennのOracle EBSから一部のデータが不正に取得されていたことが判明しました。その後、個人情報が含まれていたかどうか、また影響を受けた個人を特定するための詳細な調査を開始しました」と、大学はデータ侵害の影響を受けた人々に説明しています。
「2025年11月11日、Pennは、Oracle EBSから取得された情報の中に、あなたの個人情報が含まれていたことを確認しました。」
通知書に記載された侵害データの種類は伏せられていますが、Pennはメイン州司法長官事務所に対し、脅威アクターが影響を受けた人々の氏名またはその他の個人識別子を含むファイルを盗み出したと報告しています。
また、攻撃以降、盗まれた情報が悪用されたりオンライン上に流出したりした証拠は、これまでのところ見つかっていないとも付け加えています。
Pennの広報担当者は、BleepingComputerが本日早くに問い合わせた際、この攻撃の背後にいる人物や、データ侵害の影響を受けた個人の数についてコメントを提供することはできませんでした。
ClopによるOracle EBSデータ窃取攻撃
ペンシルベニア大学はまだ今回の侵害の犯行主体を特定していないものの、通知書で共有された詳細に基づくと、このインシデントは、Clopランサムウェア集団がゼロデイ脆弱性(CVE-2025-61882)を悪用して、2025年8月初旬以降、多くの組織のOracle EBSプラットフォームから機密ファイルを盗み出している、より大規模な恐喝キャンペーンの一部です。
また、Clopはまだペンシルベニア大学をリークサイトに掲載していないことから、大学側が依然として脅威グループと交渉中であるか、すでに身代金を支払った可能性があることも示唆されています。
同じキャンペーンの中で、Clopはハーバード大学、ワシントン・ポスト紙、GlobalLogic、Logitech、およびアメリカン航空子会社のEnvoy Airも標的としており、盗み出したデータをダークウェブ上のリークサイトで公開し、Torrentを通じてダウンロード可能にしています。
過去には、この恐喝グループはAccellion FTA、GoAnywhere MFT、Cleo、およびMOVEit Transferの顧客を標的とした複数のデータ窃取キャンペーンも主導しており、後者では2,770を超える組織が影響を受けました。
現在、米国国務省は、Clopの攻撃を外国政府と結びつける情報を提供した者に対し、1,000万ドルの懸賞金を提供しています。
