TokyoBlackHatNews

breached.company 12分で読了

政治的圧力にさらされる米国アイビーリーグ校をハッカーが攻撃

高度なサイバー攻撃の波がアイビーリーグ校の半数を標的とし、大学が政治的な監視を強められる中で、寄付者や学生の機微なデータが流出した

サイバーセキュリティ専門家が「米国の高等教育に対する前例のない攻撃」と呼ぶ事態の中、過去6か月の間に8つのアイビーリーグ大学のうち4校が高度なサイバー攻撃の被害に遭った。ハーバード大学、プリンストン大学、ペンシルベニア大学、コロンビア大学がそれぞれ大規模なデータ侵害を公表しており、サイバーセキュリティ上の脆弱性と、エリート学術機関への激しい政治的圧力が不穏に重なり合う状況となっている。

最新の標的:年間10億ドル規模のハーバードの資金調達業務

ハーバード大学は11月18日、卒業生・渉外部のシステムが電話を使ったフィッシング攻撃によって侵害されていたことを発見した。この侵害は、高等教育機関の中でも最も裕福な資金調達部門の一つを標的としたものだった。ハーバードは通常、年間10億ドル超を調達しており、そのシステムへの不正アクセスにより、寄付者情報、イベント出席記録、卒業生・寄付者・学生・教職員の個人連絡先などが閲覧された。

「ハーバードのような大学には、政治家、インフルエンサー、経営幹部といった影響力のある人物の個人情報など、非常に価値の高い情報が多く含まれています。そして、犯罪組織も国家も、こうした機関を標的にしていることが分かっています」と、イスラエルのサイバーセキュリティ企業Check Point Software Technologiesの脅威インテリジェンスマネージャーであるSergey Shykevich氏は述べた。

ハーバードでのインシデントは、2025年を通じて顕在化してきた不穏なパターンに続くものであり、教育機関が前例のないサイバー脅威にさらされていることを示している。これらの攻撃は、技術的な脆弱性と人的ミスの両方を悪用している。

連携した攻撃の波

プリンストン大学 – 2025年11月10日

プリンストン大学は、大学職員を標的とした高度な電話フィッシング攻撃によってシステムが侵害されたと公表した。攻撃者は、卒業生、寄付者、学生、地域コミュニティメンバーに関する略歴情報を含むデータベースを侵害し、氏名、メールアドレス、電話番号、自宅および勤務先住所などにアクセスした。プリンストン当局は、侵害を発見してから24時間以内に攻撃者をシステムから排除することに成功したと述べている。

ペンシルベニア大学 – 2025年10月31日

最近の攻撃の中でも最も大胆だったのがペンシルベニア大学(ペン)で発生したものだ。ここではハッカーがデータを盗んだだけでなく、大学自身のメールシステムを利用して学生、卒業生、職員、教員に一斉メールを送信した。攻撃者は、大学職員のアカウントに完全アクセスを得たと主張し、Salesforce CRM、SharePoint、Boxファイルリポジトリ、マーケティングプラットフォームなど、大学のデータベースから120万人分のデータをエクスポートしたと述べた。

ハッカーは、大学の入試方針を批判しながら、学校を「エリート主義的」「ウォーク(woke)」「セキュリティ慣行がひどい」と罵倒するメールを送りつけた。彼らは「レガシー(縁故入学)、寄付者、不適格なアファーマティブ・アクション入学者」に関する情報を保有していると主張し、連邦プライバシー法に違反する形でデータを流出させると脅迫した。

コロンビア大学 – 2025年夏

最も広範な侵害が発生したのはコロンビア大学であり、政治的動機を持つ攻撃者が約87万人分の個人情報を侵害した。そこには社会保障番号、健康情報、奨学金情報、入試データなどが含まれていた。ハッカーは2か月以上にわたりコロンビアのシステムに侵入し、複数のデータセンターにまたがる学生情報システム、Active Directory、VMware ESXiホストにアクセスしたと主張している。

攻撃者は、自身の動機について、2023年の連邦最高裁によるアファーマティブ・アクション違憲判決後も、人種に基づく入試慣行が継続されているとされる疑惑を暴くことだと述べた。ブルームバーグは、コロンビアの学生と卒業生8人の情報を照合することで、盗まれたデータの正確性を確認した。

4件のアイビーリーグでの侵害には共通の攻撃ベクトルがある。それは、電話を用いたフィッシングによるソーシャルエンジニアリングだ。技術的な脆弱性を突くのではなく、攻撃者は大学職員から正規の認証情報を引き出すために人間の心理を操った。

この手法は、学術研究に不可欠なオープンで協調的な環境を維持しつつセキュリティを確保しなければならない教育機関にとって、壊滅的な効果を発揮している。教育分野のサイバーセキュリティ脆弱性に関する最近の分析が示すように、このセクターでは2025年第1四半期にランサムウェア攻撃が世界的に69%増加している。

「教育機関は、脅威アクターにとって非常に狙いやすい標的です。その主な理由は、多くのITリテラシーの低いユーザーがネットワークに接続せざるを得ないからです」と、Inside Higher Edによる一連の侵害報道で引用されたサイバーセキュリティ専門家のRiley氏は説明する。

政治的文脈が危機を増幅

これらのサイバー攻撃は、エリート大学にとって特に脆弱なタイミングで発生した。各大学は複数の方向から高まる政治的圧力に直面している。

  • 連邦資金の脅威:トランプ政権は数十億ドル規模の研究資金を凍結し、認定取り消しを示唆している
  • 入試への監視強化:2023年の連邦最高裁によるアファーマティブ・アクション違憲判決を受け、大学は判決に従っていないとの疑いをかけられている
  • 多様性プログラムへの攻撃:政権は多様性・公平性・インクルージョン(DEI)イニシアチブへの支援を問題視している
  • 留学生への制限:留学生の受け入れやビザ手続きに影響する新たな政策

ホワイトハウスは、雇用、入試、授業料に対する新たな制限と連邦資金を紐づけようとしており、ペンシルベニア大学を含む複数の有力校がこの取引を拒否している。政権側は、ハーバードとの交渉について「最終段階に近い」と述べている。

一部の侵害は、こうした政治的緊張と明確に結びついているように見える。ペンのハッカーとされる人物はThe Vergeに対し、盗んだデータを売却するつもりだと語る一方、コロンビアの攻撃者は、最高裁判決後も大学が人種に基づく入試を続けていることを証明するのが目的だと主張した。

教育分野全体に広がるサイバーセキュリティ危機

アイビーリーグへの攻撃は、米国の教育界が直面するはるかに大きな問題の氷山の一角にすぎない。教育セクターのサイバーセキュリティ課題に関する分析は、構造的な脆弱性を明らかにしている。

財政的制約:2020年以降、1,681の高等教育機関が84件のランサムウェア攻撃の影響を受けており、平均復旧コストは142万~158万ドルに達する。それにもかかわらず、大学の66%は基本的なメールセキュリティ設定すら導入していない。

レガシーシステム:多くの機関が老朽化した技術基盤を運用している。2025年のUpGuardの調査によると、大学の45%がサポート終了済みのPHPを実行する資産を少なくとも1つ保有し、48%が既知の悪用可能な脆弱性を含むソフトウェアを使用していた。

露出したインフラ:同調査では、大学の10%(上位500校に限ると23%)がリモートデスクトッププロトコル(RDP)サービスをインターネットに公開しており、攻撃者にとって容易な侵入口となっていることも判明した。

価値の高いデータの宝庫:大学には、社会保障番号、財務記録、健康データ、パスポート情報など、個人情報盗難や詐欺に必要なあらゆる情報が大量に保管されている。また、最先端研究から生まれる知的財産も抱えている。

他のエリート機関も標的に

標的となっているのはアイビーリーグ校だけではない。ニューヨーク大学(NYU)は2025年3月、ハッカーに大学のウェブサイトを乗っ取られ、1989年までさかのぼる300万人超の志願者の入試データを公開されるという壊滅的な侵害を受けた。攻撃者は「 Niggy Exploitation」と名乗り、標準テストのスコア、市民権の有無、奨学金情報、人口統計データを含むデータセットを公開した。

同じグループは以前、ミネソタ大学を攻撃し、700万件の社会保障番号などの機微情報を流出させている。これらの攻撃は連携され、かつイデオロギー的動機に基づくものであり、最高裁のアファーマティブ・アクション判決への報復として大学を特に標的としているように見える。

オーストラリアの大学も同様の課題に直面しており、ウェスタンシドニー大学では2025年6月から9月にかけて大規模な侵害が発生し、納税者番号、銀行口座情報、パスポート情報、健康記録が流出した。

K-12教育も包囲下に

危機は高等教育にとどまらない。悪名高いPowerSchool侵害では、マサチューセッツ州の19歳、Matthew Laneが6,000万人の生徒と1,000万人の教員のデータを侵害し、検察当局はこれを「米国の児童生徒データ史上最大の侵害」と呼んだ。

Laneと共犯者はPowerSchoolのカスタマーサポートポータルに侵入し、7,000万件のレコードをウクライナのサーバーに流出させた後、285万ドル相当のビットコインを要求した。この侵害は米国、カナダ、その他の国々の教育機関に影響を与え、サードパーティの教育テクノロジーベンダーの脆弱性を浮き彫りにした。

AIによって加速する脅威の状況

生成AIの登場により、攻撃の高度化は劇的に進んだ。最近の分析によると、2025年第2四半期のビジネスメール詐欺(BEC)メールの40%が、複数の検知ツールによってAI生成と確認された。AIはフィッシングやBECメッセージの品質を向上させ、従来は詐欺の手がかりとなっていた文法的・構造的な不自然さを減らしている。

この技術的進化により、訓練を受けた職員であっても、正当な連絡と高度なソーシャルエンジニアリング攻撃を見分けることがますます難しくなっており、これはアイビーリーグ校にとって高くつく結果となった。

人間への代償

統計や技術的な詳細を超えて、これらの侵害は数百万人に及ぶ個人のプライバシーを深く侵害するものだ。大学出願の一環として、個人的なエッセイから奨学金情報、健康記録に至るまで機微な情報を提供した学生たちは、今や個人情報盗難や詐欺のリスクにさらされている。

信頼する機関を支援してきた寄付者は、自身の個人情報や寄付履歴を暴露された。教職員は、雇用記録や個人連絡先情報、場合によっては社会保障番号までが侵害された。

知の守護者であり、プライバシー権の擁護者であることを誇りとしてきた機関にとって、これらの侵害は評判に対する深刻な打撃であり、その回復には長い年月を要する可能性がある。

学生データを保護する目的で制定された現行法は、極めて不十分であることが明らかになった。家族教育権利プライバシー法(FERPA)には私的な訴権がなく、学生はデータ保護の不備について大学を直接提訴することができない。一方、ニューヨーク州のSHIELD法は、サイバーセキュリティ対策に関して「合理的」といった曖昧な基準しか定めていない。

NYU侵害を分析したコロンビア・ロー・レビューは、「学生データを保護する目的で制定された既存の法律は、執行力の限定性や遵守基準の曖昧さといった欠陥を露呈した。その結果、被害者は実効的な救済手段を欠いたままに置かれている」と指摘した。

影響を受けた大学に対しては複数の集団訴訟が提起されているが、法令上の空白により、被害者は司法的救済や実質的な説明責任を求める明確な道筋を持てていない。

大学側の対応と進行中の調査

影響を受けた大学は、侵害への対応としてさまざまな措置を講じている。

  • 即時の封じ込め:すべての機関が、攻撃者のアクセスを速やかに遮断し、さらなる不正侵入を防ぐために行動したと報告している
  • 法執行機関との連携:各大学はFBIを含む連邦法執行機関と協力し、捜査を継続している
  • 被害者への通知:影響を受けた可能性のある個人に対し、データ侵害通知を送付
  • クレジット監視:大学は被害者に対し、クレジット監視や本人確認保護サービスを提供
  • 第三者専門家の起用:各校はサイバーセキュリティ専門のコンサルタントを雇い、インシデント調査と防御強化にあたっている

しかし、これらの対応が十分であったかどうかについては疑問が残る。コロンビア大学は、2025年5月に始まった侵害について、影響を受けた個人への通知を開始するまでに約3か月を要しており、州および連邦の通知要件に違反している可能性がある。

今後の道筋

サイバーセキュリティ専門家は、教育機関を守るには多面的なアプローチが必要だと強調する。

1. セキュリティインフラの強化

  • すべてのシステムで多要素認証を実装する
  • 高度なフィッシングを検知できるメールセキュリティソリューションを導入する
  • レガシーシステムを更新し、既知の脆弱性にパッチを適用する
  • ゼロトラストアーキテクチャの原則を導入する

2. 職員トレーニング

  • 定期的かつ現実的なフィッシング訓練
  • ソーシャルエンジニアリング手口に関する教育
  • 通常と異なる要求の真偽を確認するための明確なプロトコル
  • セキュリティ意識の高い組織文化の醸成

3. サードパーティリスク管理 PowerSchoolインシデントが示すように、組織はサードパーティベンダーを綿密に審査し、堅牢なセキュリティ慣行を維持しているか確認しなければならない。

4. インシデント対応計画 サイバー犯罪者は、セキュリティチームの人員が手薄になったり注意が散漫になったりする時期を狙うことが多い。組織は、休日や夏休みなど脆弱な時期を考慮に入れた包括的なインシデント対応計画を策定する必要がある。

5. データ最小化 大学は、実際に収集・保存する必要のある個人情報を再評価し、不要なデータの保管を最小限に抑える方針を導入すべきである。

連邦レベルの捜査が進行中

複数のアイビーリーグ校が数か月の間に相次いで侵入被害を報告したことを受け、連邦当局やサイバーセキュリティ研究者は、これらの攻撃が単発の機会的侵害なのか、それとも連携したキャンペーンなのかを調査している。

国土安全保障省の2024年脅威評価報告書は、予算制約と教育サービスの重要性を理由に、K-12学区を「ほぼ常時ランサムウェアの標的」と位置づけた。同様の脆弱性は高等教育にも存在し、価値の高い個人データ、限られたサイバーセキュリティ資源、そして比較的オープンなシステムの必要性が相まって、利益目的の犯罪者とイデオロギー主導のハクティビストの双方にとって魅力的な標的となっている。

業界全体への示唆

アイビーリーグでの侵害は、機微な個人情報を扱うすべてのセクターに対する警鐘となっている。主な教訓は次のとおりだ。

  • ソーシャルエンジニアリングは依然として壊滅的な効果を持つ:多大な資源を持つ一流機関であっても、巧妙な電話フィッシング攻撃の前には無力となりうる
  • 人的要因は技術的防御を凌駕する:どれほど高度なファイアウォールや暗号化システムがあっても、職員が正規の認証情報をうっかり提供してしまえば防ぎようがない
  • 政治的な標的化はリスクを高める:政治的・社会的に対立の激しい問題に関与する組織は、イデオロギー動機の攻撃者からの脅威が高まる
  • 対応のスピードが重要:プリンストンの24時間以内の対応が示したように、迅速な検知と封じ込めは被害を限定しうる
  • 透明性は不可欠:通知の遅延や不十分な情報提供は被害を拡大させ、法的要件に違反する可能性もある

今後を見据えて

2025-2026年度の学年が進む中、あらゆるレベルの教育機関はサイバーセキュリティ体制の強化を急務としている。ハーバード、プリンストン、ペン、コロンビアへの攻撃は、評判や資源、エリートとしての地位があっても、高度なサイバー脅威に対する免疫にはならないことを示している。

政治的圧力、イデオロギーに基づく標的化、技術的脆弱性が収束することで、大学は「完全な嵐」の中を航行しながら、教育・研究・社会貢献という本来の使命を維持しなければならない。

情報を侵害された数百万の学生、寄付者、教職員にとって、今後の道のりは、個人情報盗難の監視を怠らないこと、自らの法的権利を理解すること、そしてデータ保護に失敗した機関に説明責任を求めることを意味する。

教育セクター全体は、これらの注目度の高い侵害から学び、次の攻撃が起きる前に包括的なセキュリティ対策を実装しなければならない。教育分野のサイバーセキュリティに関する研究が示すように、今後さらなる攻撃が起きるかどうかではなく、「いつ」起きるのか、そして機関側がそれに対抗する準備ができているかどうかが問題なのだ。

翻訳元: https://breached.company/hackers-strike-us-ivy-league-schools-already-under-political-pressure/

ソース: breached.company
#PowerSchool侵害 #アイビーリーグ #アファーマティブアクションと入試 #データ漏えい #フィッシング詐欺 #個人情報保護 #大学サイバー攻撃 #政治的ハッキング #教育機関のセキュリティ #生成AIとサイバー犯罪

関連記事

サードパーティのメールベンダーが侵害され、Flickrの3,500万人のユーザーデータが流出

フリード・フランクのデータ侵害でJPMorganとゴールドマン・サックスのプライベート・エクイティ投資家を含む46,000人超が露出:ウォール街のエリート法律事務所が大手銀行顧客にとっての「負債」に

SoFi Technologiesのデータ侵害で数万人分が流出:フィンテック利用者が知っておくべきこと