ハワイ大学は、2025年8月にランサムウェア集団が同大学のがんセンターに侵入し、1990年代の社会保障番号(SSN)を含む文書など、研究参加者のデータを盗み出したと発表した。
1907年に設立されたハワイ大学(UH)システムは、現在、3つの大学と7つのコミュニティカレッジに加え、ハワイ諸島全域に10のキャンパスと研修・研究センターを擁している。がんセンターはホノルルのカカアコ地区に位置し、300人以上の教職員に加え、さらに200人の関連メンバーが所属している。
UHは、州議会への報告書の中で、8月31日のインシデントはUHがんセンターの単一の研究プロジェクトに影響したものの、臨床業務や患者ケアには影響しなかったと述べた。
しかし、侵害されたシステムを暗号化したことによる甚大な被害により、UHの復旧作業と、攻撃の影響に関する調査は遅れた。
「8月下旬に発見した時点で、影響を受けたシステムは直ちに切り離され、専門家を起用して包括的な調査を実施し、外部の関係者にも通知しました」と、UHの広報担当者はBleepingComputerに語った。
「この過程で、UHは、情報が影響を受けた可能性のある個人を保護するため、脅威アクターと関与するという困難な決断を下しました。関与したのは限定的な研究ファイル(医療の治療記録ではない)で、過去の個人情報を含むものもありました。」
初期のレビューでは、影響を受けたファイルの大半は特定のがん研究に関連し、個人を特定できる情報を含まない研究データのみであることが判明した。しかし、その後の分析で、大学が別の識別方法を採用する以前に研究参加者を識別するために使用されていた社会保障番号を含む、1990年代のファイルが見つかった。
復号ツールと盗難データの削除のために身代金を支払う
UHは、外部のサイバーセキュリティ専門家とも協力し、復号ツールの入手と、「脅威アクターが違法に入手した情報の安全な破棄」を行ったと付け加え、「機微な情報が侵害された可能性のある個人を保護する」ためだと述べた。
大学はランサムウェア攻撃でデータを盗まれた人々への通知をまだ行っていないが、UHはBleepingComputerに対し、「連絡先情報が判明次第、できるだけ早く」通知すると述べた。
攻撃への対応として、UHはさらなる侵入の試みに備えてシステムを保護する措置も講じており、エンドポイント保護ソフトウェアの導入、侵害されたシステムの交換、パスワードのリセット、ファイアウォールソフトウェアの入れ替え、がんセンターに対する第三者によるセキュリティ監査の実施などを行った。
6月には、ハワイアン航空も、一部のITシステムへのアクセスを妨げたものの、飛行の安全には影響しなかったサイバー攻撃を公表している。
米国の他の複数の大学も、10月下旬からボイスフィッシング攻撃で侵害されており、プリンストン大学、ハーバード大学、およびペンシルベニア大学は、寄付者、職員、学生、卒業生のデータを盗む目的で、開発および卒業生関連活動のシステムがハッキングされたことを明らかにした。
Clopランサムウェア集団は、ハーバード大学とペンシルベニア大学にも再び侵入し、Oracle E-Business Suite(EBS)のゼロデイ脆弱性を悪用したデータ窃取キャンペーンで、学生、職員、サプライヤーから機微な個人情報および財務情報を盗み出した。
12月には、ベイカー大学も、前年に攻撃者が同大学のネットワークを侵害し、5万3,000人を超える個人の個人情報、健康情報、財務情報を盗み出した後のデータ侵害を公表した。
