Clopランサムウェア集団は、8月に同大学のネットワークへ侵入した後、フェニックス大学(UoPX)の学生、職員、サプライヤー約350万人分のデータを盗み出しました。
アリゾナ州フェニックスに本部を置くUoPXは、1976年に設立された私立の営利大学で、在籍学生は10万人超、学術スタッフは約3,000人にのぼります。
12月上旬、同大学は公式サイトでこの事案を公表し、親会社であるPhoenix Education Partnersは米国証券取引委員会(SEC)に8-Kを提出しました。
UoPXによると、侵害を検知したのは11月21日(Clopが同大学をデータ漏えいサイトに追加した後)で、攻撃者がOracle E-Business Suite(EBS)の財務アプリケーションに存在するゼロデイ脆弱性を悪用し、職員、サプライヤー、現・元学生に属する機微な個人情報および金融情報を窃取したとしています。
同校は「当校は、無許可の第三者が、氏名および連絡先情報、生年月日、社会保障番号、ならびに多数の現・元学生、従業員、教職員およびサプライヤーに関する銀行口座番号およびルーティング番号を含む特定の個人情報を取得し、無許可でアクセスされたと考えています」と述べました。
当時、同大学の広報担当副社長であるAndrea Smiley氏はBleepingComputerに対し、UoPXは「影響を受けたデータを精査しており、影響を受けた個人および規制当局に対して必要な通知を行う」と語っていました。
月曜日、同校はメイン州司法長官事務所に提出し、攻撃でデータが盗まれた人々に郵送した通知書の中で、このデータ侵害が3,489,274人に影響すると明らかにしました。
UoPXは現在、100万ドルの不正被害補償、12か月間のクレジット監視、なりすまし被害の復旧支援、ダークウェブ監視を含む無料の身元保護サービスを提供しています。
同校はまだ侵害の原因を特定していないものの、これまでに共有された詳細に基づけば、この攻撃はClopによる恐喝キャンペーンの一環であり、ランサムウェア集団がゼロデイ欠陥(CVE-2025-61882)を悪用して、2025年8月上旬以降、多数の被害者のOracle EBSプラットフォームからデータを盗み出してきたものです。
Clopは同じ一連のデータ窃取攻撃で、ハーバード大学やペンシルベニア大学など、他の米国の大学も標的にしており、両校も職員と学生に影響するOracle EBS侵害を確認しています。
Clopは過去にも複数のデータ窃取キャンペーンの背後におり、GoAnywhere MFT、Accellion FTA、MOVEit Transfer、Cleo、そして直近ではGladinet CentreStackの顧客を標的にしてきました。
米国務省は現在、サイバー犯罪集団の攻撃が外国政府に結び付くことを示す情報に対して1,000万ドルの報奨金を提示しています。
10月下旬以降、他の複数の米国の大学もボイスフィッシング攻撃で侵害されており、ハーバード大学、ペンシルベニア大学、プリンストン大学は、開発および同窓会活動に使用されるシステムが侵害され、寄付者、学生、卒業生、職員、教職員の個人情報が盗まれたことを公表しています。
