米国の大学ネットワークは、教育インフラストラクチャを直接的にターゲットにするのではなく、むしろデジタル上の信望をターゲットにした広範な攻撃に巻き込まれました。敵対勢力は.eduゾーン内の放置されたサブドメイン数十個を乗っ取り、露骨なスパムでそれらを満たしました。その後、Googleはこのコンテンツを国内で最も由緒ある学術機関の名前の下にインデックスしました。
SH Consultingの創設者であるAlex Shakhov氏は、この悪質なキャンペーンの詳細を明かしました。2026年4月初旬、彼はMIT、ハーバード、スタンフォード、UC Berkeley、コロンビア、シカゴ大学、ジョンズ・ホプキンス大学を含む少なくとも34の機関に影響を与えるサブドメインの協調的なハイジャックを特定しました。Shakhov氏によると、攻撃者はプロジェクト完了またはアカウント削除後も外部プラットフォームへのポイントを続けていたレガシーDNSレコードを悪用しました。
この戦略のメカニズムは驚くほどシンプルでした。大学部門は第三者のサービス上にウェブサイトを確立し、CNAMEレコード経由でサブドメインをリンクすることが多くありましたが、サイトの廃止時にこれらのエントリをDNSから削除することに失敗していました。外部リソースが放置状態になると、悪意のある者は単に必要な識別子で新しいアカウントを登録し、大学ブランドのアドレスに対して完全な支配権を獲得しました。Shakhov氏は、廃止されたWP Engineホスティングインスタンスに紐付けられていたシカゴ大学のサブドメインを典型的な例として引用しました。
これらの不正に占領されたアドレスは、ポルノグラフィック素材と検索エンジンスパムで飽和したページをホストするために使用されました。.eduドメインに関連する固有の権威のため、このコンテンツはGoogleの検索ランキングを迅速に上昇させ、典型的な疑わしいサイトよりもはるかに高い位置に表示されました。Infobloxによると、同様の方法論は以前、CDCなどの政府機関やDeloitteおよびPricewaterhouseCoopers などのグローバルコンサルタントをターゲットにすることで悪名高い脅威アクター「Hazy Hawk」によって採用されていました。
Infobloxの脅威インテリジェンス副社長であるRenée Burton氏は、現在のキャンペーンがHazy Hawkの特徴的な特質を備えていることを認め、裏付けました。同グループは「ぶら下がっている」DNSレコードをスカウトするのに何年もの時間を費やし、新しいターゲットに移行する前に、違法なアフィリエイトネットワークを通じてトラフィックを迂回させるために一時的にハイジャックされたサブドメインを利用していると報告されています。
この危機は学術的領域を超えて広がっています。Shakhov氏の開示に続いて、専門家は国防教育活動局(DoDEA)内で同様の脆弱性を特定しました。DoDEAは軍家族向けの学校を監督する連邦機関です。Shakhov氏は、これらの事件の莫大な規模を、不十分なサブドメイン監査およびプロジェクト終了後のDNSサニタイゼーションプロトコルの欠如に起因していると述べています。分散化された大学環境では、部門、研究所、学生組織が独立してサイトを立ち上げるため、孤立したレコードは何年間も存続し、その後の侵入に対する理想的なエントリポイントへと変貌する可能性があります。
