University of Phoenix, Inc.は、2025年11月に発見された外部システムの侵害を受け、約350万人に影響する重大なデータ侵害を公表しました。
不正アクセスは2025年8月13日に発生しましたが、2025年11月21日まで検知されず、3か月間の露出期間が生じました。
侵害の概要
本件は、教育機関のシステムを標的とした外部からのハッキング攻撃によって発生しました。
正確な侵入経路は公表されていないものの、この侵害により、現役および元学生、教職員、ならびに大学に関連する可能性のあるその他の個人に関する個人識別情報と機微情報が組み合わさった形で漏えいしました。
影響を受けた人のうち9,131人はメイン州の居住者であり、州の義務的な通知要件が発動しました。
アリゾナ州フェニックスの4035 South Riverpoint Parkwayに本社を置くフェニックス大学は、2025年12月22日に影響を受けた個人へ送付した正式な書面通知により、本侵害を確認しました。
この開示は、メイン州のデータ侵害通知法を含むデータ保護法に基づき求められる調査および通知手続きに従って行われました。
同大学は、影響を受けた個人に対し、無償で身元盗難保護サービスを提供することを約束しています。
州規制当局に提出された書簡によれば、同社は包括的な保護サービスを提供しているものの、提供事業者およびサービス期間に関する具体的な詳細は、当局に提出された補足資料に記載されていました。
大学の法務代理人を務めるConstangy, Brooks, Smith & Prophete, LLPが、侵害通知プロセスを調整しました。
パートナーのSean B. Hoar氏は、影響を受けた各管轄区域における適用されるすべての通知要件および規制上の義務に準拠していることを確認しました。
本侵害は、複数の州の司法長官および消費者信用情報機関への通知を要する重大な事案です。
約350万人分の個人情報の露出により、本件は2025年に報告された教育分野の侵害の中でもより重大なものの一つとなっています。
侵害の影響を受けた州居住者が1,000人を超えるという基準を満たしたため、メイン州当局は正式な通知を受領しました。
3か月に及ぶ検知までの期間は、同機関のセキュリティ監視能力およびインシデント対応手順に疑問を投げかけます。
教育機関は、学生記録や管理システムに保管される価値の高い個人情報および金融情報へのアクセスを狙うサイバー攻撃者の標的となるケースが増えています。
影響を受けた個人には、信用情報レポートを監視し、提供される身元盗難保護サービスを活用するよう助言されています。
フェニックス大学は現時点で、是正措置、インフラ改善、または侵害の根本原因分析に関する追加の詳細を開示していません。
本件は、膨大な機微な学生情報の保管庫を管理する高等教育機関が直面する継続的なサイバーセキュリティ上の課題を浮き彫りにしています。
同機関が正式なインシデントレビュー手続きを完了するにつれ、調査およびセキュリティ改善に関するさらなる更新が見込まれます。
翻訳元: https://gbhackers.com/university-of-phoenix-data-breach/
