ニューヨークおよびカリブ地域にキャンパスを持つ営利大学が、2024年12月に発生したデータ窃取事件により個人情報および健康情報が侵害されたとして、約32万1,000人に通知している。
火曜日に州当局へ提出された侵害報告書で、モンロー大学は、最新の「外部システム侵害」により320,973人が影響を受け、2024年12月に約2週間にわたり学校のITシステムへ不正アクセスが行われたと述べた。
「2024年12月9日から12月23日の間に、無許可の第三者がモンロー大学の特定のコンピューターシステムにアクセスし、その期間中に当社ネットワーク上の一部ファイルのコピーを取得したことが判明しました」と、同校はウェブサイトに掲載した侵害通知で述べた。
影響を受けた可能性のある情報には、氏名、生年月日、社会保障番号、運転免許証番号、パスポート番号に加え、医療情報、健康保険情報、電子アカウントまたはメールのユーザー名とパスワード、金融口座情報、学生データが含まれる。
モンロー大学は、Information Security Media Groupのコメント要請を辞退した。同校は、旧称のモンロー・カレッジとして運営していた2019年半ばにも以前攻撃を受けている。その事件では、サイバー犯罪者が身代金として200万ドル相当のビットコインを要求したと報じられている。
価値の高い被害者
モンロー大学の最新の侵害の開示は、近年およびここ数カ月に発生している、他の大学や教育機関(関連する医療センターを持つ機関を含む)を巻き込んだ多数のランサムウェア攻撃やデータ窃取の一つである。
ハワイ大学がんセンターは最近、ランサムウェアによる暗号化と患者研究データの窃取を伴うサイバー事案を州当局に報告した(参照: がんセンターのハッカーが研究ファイルを窃取し、データを暗号化)。
セキュリティ企業Rapid7で脅威インテリジェンスおよびアナリティクス担当シニアディレクターを務めるChristiaan Beek氏は、「大学は、高価値のデータと構造的に弱い防御を併せ持つため、魅力的な標的だ」と述べた。
同氏によれば、脅威アクターは、大学が学生記録、財務データ、健康データ、価値の高い研究など膨大な機微情報を保有している一方で、限られたセキュリティ予算、レガシーシステム、そして高度に分散したIT環境で運用されていることを理解している。
また、「大学ネットワークは設計上、意図的にオープンでもある」と同氏は述べた。
「何千人ものユーザー、絶え間ないデバイスの入れ替わり、リモートアクセス、外部パートナーとの協業が大きな攻撃対象領域を生み出し、学術ミッションを妨げずに完全にロックダウンするのは難しい」
研究活動、とりわけ医療・科学研究に関するものは、サイバーリスクを大幅に高めるとBeek氏は述べた。
「これらのデータセットはしばしば高価値で、代替が利かず、時間的制約もあるため、恐喝の理想的な標的となる。また、協力者、研究室、外部パートナー間で広く共有されるため、攻撃対象領域が拡大し、認証情報の悪用、設定ミス、あるいは内部者による不正利用の可能性が高まる」
Beek氏によれば、過去6カ月間で教育分野への攻撃が最も活発だったのはQilin、SafePay、INC Ransomだという。「同じグループが医療分野も攻撃していることを観測しており、教育分野でも彼らが現れるのは当然だ。最近の大学関連研究センターで見られるように、教育と医療のデータが交差する場合、リスクはさらに高まる」
GuidePoint Securityのプリンシパル・インテリジェンス・コンサルタントであるJustin Timothy氏は、同社が追跡するランサムウェア被害者データに基づき、教育機関に対するランサムウェア攻撃件数は2024年の196件から2025年には259件へと32%増加したと述べた。
とはいえ、Rapid7が観測した攻撃の全体としては、その多くが「機会主義的な被害者」であり、攻撃者がインターネット上をスキャンして脆弱なセキュリティ設定や未パッチの古いネットワーク基盤を探し、ネットワークへの足掛かりを得るものだという。
Timothy氏は、大学はアイデンティティセキュリティ、エッジシステムのパッチ適用、そしてセグメンテーションを優先すべきだと述べた。「つまり、アイデンティティを境界として扱い、レガシーの露出を積極的に減らし、特にリスクが最も高い研究および管理系システムについては、デフォルトで侵害を前提にするということだ」
翻訳元: https://www.databreachtoday.com/for-profit-monroe-university-notifies-321000-data-theft-a-30531
