2025年12月、米国アリゾナ州に本部を置く私立営利教育機関であるフェニックス大学は、サイバー攻撃により約350万人に及ぶ大規模なデータ侵害が発生したことを公表しました。このインシデントは、現役および元学生、教職員、サプライヤーの機密性の高い個人情報および財務情報が不正にアクセスされ、窃取された可能性が高いとされています。
この攻撃は、悪名高いClopランサムウェアグループによるものとされており、彼らがOracle E-Business Suite (EBS)のゼロデイ脆弱性を悪用した広範なキャンペーンの一環として実行されたと考えられています。この事件は、教育機関が抱えるデータセキュリティの脆弱性と、サプライチェーン全体に及ぶサイバー脅威の深刻さを改めて浮き彫りにしました。
大学が公表した情報によると、攻撃は2025年8月13日から22日の間に発生しましたが、その侵入が検出されたのは、Clopグループがデータ漏洩サイトに大学の名前を掲載した翌日の11月21日でした。この3ヶ月以上にわたる検出の遅れは、組織の内部セキュリティ制御の有効性について深刻な疑問を投げかけています。
今回の侵害は、Comparitechのデータ研究責任者であるレベッカ・ムーディ氏が「今年世界で4番目に大きいランサムウェア攻撃(影響を受けた記録数に基づく)」と指摘するほどの大規模なものであり、教育セクターがサイバー犯罪者にとって依然として魅力的な標的であることを示しています。
Oracle EBSゼロデイ脆弱性の悪用:攻撃の技術的側面
今回のフェニックス大学への攻撃は、Oracle E-Business Suite (EBS)の財務アプリケーションに存在するゼロデイ脆弱性、具体的にはCVE-2025-61882が悪用されたことによって引き起こされました。この脆弱性は、攻撃者が大学のシステムに不正にアクセスし、機密データを窃取するための主要な経路となりました。Oracle EBSは多くの大企業や教育機関で利用されている基幹業務システムであり、その脆弱性が悪用されたことの波紋は広範囲に及びます。
Infosecurity Magazineの報道によれば、この脆弱性を悪用したキャンペーンは2025年10月初旬に公になり、複数のセクターにわたる100以上の組織が標的とされました。フェニックス大学の他にも、ハーバード大学、ペンシルベニア大学、ダートマス大学といった米国の著名な大学も、同様のOracle EBS関連の侵害の被害に遭ったことが確認されています。
Clopランサムウェアグループは、以前からGoAnywhere MFTの脆弱性やその他のゼロデイエクスプロイトを悪用して大規模なデータ窃取を行ってきた実績があり、今回のOracle EBSの脆弱性も彼らの手口の一環として利用されたと考えられます。彼らは、単一の脆弱性を悪用することで、多数の組織から一度にデータを窃取する「広範なキャンペーン」を展開する傾向があります。
大学は、銀行口座情報が「アクセス手段なしに」取得されたと述べていますが、これは攻撃者が直接的な認証情報を介さずに、システムの脆弱性を突いてデータを抽出した可能性を示唆しています。この技術的な側面は、従来の認証情報窃取型攻撃とは異なる、より高度な侵入手法が用いられたことを示唆しています。
潜伏期間と遅延した検出:3ヶ月間の沈黙が語るもの
フェニックス大学のシステムへの侵入は2025年8月13日から22日の間に発生したと特定されていますが、この攻撃が検出されたのは、Clopランサムウェアグループがそのデータ漏洩サイトに大学の名前を公表した後の11月21日でした。この3ヶ月以上にわたる検出の遅れは、サイバーセキュリティの分野で「潜伏期間」として知られる現象の深刻な事例であり、大学のセキュリティ監視体制に重大な欠陥があったことを示唆しています。
The National CIO Reviewは、この遅延が「大学の内部セキュリティ制御が合理的な期間内に不正アクセスを検出できなかった」ことを示唆していると指摘しています。攻撃者は、この長期間にわたりシステムへのアクセスを維持し、機密情報を自由に探索し、窃取することができたと考えられます。このような長期間の潜伏は、攻撃者がより深くシステムに侵入し、より広範なデータを収集することを可能にします。
通常、組織は侵入検知システム(IDS)やセキュリティ情報イベント管理(SIEM)ソリューションを導入し、異常な活動をリアルタイムで監視しています。しかし、今回のケースでは、Clopグループが公開するまで攻撃が発覚しなかったことから、これらの防御メカニズムが効果的に機能していなかった可能性が高いと推測されます。
この検出の遅れは、単に技術的な問題に留まらず、組織全体のセキュリティ文化やインシデント対応計画の不備をも示唆しています。迅速な検出と対応は、データ侵害の規模と影響を最小限に抑える上で極めて重要であり、今回の事例は、その重要性を改めて浮き彫りにするものです。
流出した機密情報とその影響:広がる身元詐称のリスク
今回のデータ侵害により、フェニックス大学の現役および元学生、教職員、サプライヤーを含む約349万人の個人情報が危険に晒されました。流出したデータには、氏名、連絡先情報、生年月日、社会保障番号、銀行口座およびルーティング番号といった極めて機密性の高い情報が含まれていました。これらの情報は、身元詐称や金銭的詐欺の温床となる可能性が非常に高いものです。
社会保障番号や銀行口座情報が悪意のある第三者の手に渡れば、被害者はクレジットカードの不正利用、新規口座の開設、ローン申請、さらには税金詐欺など、多岐にわたる金銭的被害に遭うリスクに直面します。また、氏名や生年月日などの個人識別情報は、フィッシング詐欺やソーシャルエンジニアリング攻撃の精度を高めるために悪用される可能性があります。
特に、メイン州の9,131人の居住者を含む約350万件という規模は、個々の被害者だけでなく、社会全体に広範な影響を及ぼす可能性があります。これらのデータがダークウェブ上で取引されることで、長期にわたる脅威に晒されることになります。
Pixel Privacyの消費者プライバシー擁護者であるクリス・ホーク氏は、「今回の侵害の影響を受けた個人は、大学が提供する無料の身元保護サービスを利用することを強く勧めます」と述べ、悪意のある行為者が窃取したデータを悪用しようとしているかどうかを検出する上で、これらのサービスが役立つと強調しています。被害者にとっては、自身の情報を保護するための積極的な行動が不可欠です。
Clopグループの戦略と教育機関の脆弱性
Clopランサムウェアグループは、その攻撃的な手法と大規模なデータ窃取キャンペーンで知られる脅威アクターです。彼らは、ゼロデイ脆弱性を積極的に悪用し、Oracle E-Business Suiteのような広範に利用されるエンタープライズレベルのソフトウェアを標的とすることで、一度に多数の組織から大量のデータを窃取する戦略を採用しています。今回のフェニックス大学への攻撃も、この戦略の典型的な例と言えるでしょう。
教育機関は、サイバー犯罪者にとって魅力的な標的であり続けています。その理由は、学生、教職員、卒業生といった膨大な数の個人情報、財務情報、さらには貴重な研究データや知的財産を保有しているためです。これらのデータは、ダークウェブ市場で高値で取引されることが多く、Clopのようなランサムウェアグループにとって大きな収益源となります。
SOCRadarのCISOであるエンサー・セカー氏は、「今回の侵害は、2025年を通じて見てきた憂慮すべきパターンを浮き彫りにしています」と述べ、Clopのような脅威アクターが大規模で集中型の教育プラットフォームに対してゼロデイ脆弱性や大量のデータ流出キャンペーンを継続的に仕掛けている現状を指摘しています。これは、教育セクターが直面する構造的なセキュリティ上の弱点を示唆しています。
また、Oracle EBSのようなサードパーティ製ソフトウェアの脆弱性が悪用されることで、そのソフトウェアを利用する多数の企業や機関が間接的に被害を受けるリスクも浮き彫りになりました。Comparitechのレベッカ・ムーディ氏は、「これは、企業がランサムウェアによって直面する継続的な脅威、そして自社のシステムへの攻撃だけでなく、Oracleのようなサードパーティへの攻撃を通じて、ハッカーが中央のソースを介して多数の企業(とそのデータ)にアクセスできることを浮き彫りにしています」と述べています。
大学の対応と残された課題:信頼回復への道
フェニックス大学は、今回のデータ侵害を受けて、影響を受けた個人に対して無料の身元保護サービスを提供すると発表しました。これには、12ヶ月間のクレジット監視、身元詐称回復支援、ダークウェブ監視、そして最大100万ドルの詐欺補償ポリシーが含まれています。これらのサービスは、被害者が潜在的な詐欺行為を検出し、被害を軽減するための重要な支援となります。
大学はまた、メイン州司法長官事務所および影響を受けた個人に対し、通知書を送付しました。親会社であるPhoenix Education Partnersは、米国証券取引委員会(SEC)に8-K報告書を提出し、規制当局への情報開示義務を果たしています。これは、データ侵害に関する法的および規制上の要件を遵守するための措置です。
しかし、The National CIO Reviewが指摘するように、現時点では、将来同様のインシデントを防止するためにどのような具体的な措置が取られているかについての詳細な公的説明はまだありません。大学は正式な内部調査が進行中であることを認めており、追加の情報開示が期待されています。
今回の事件は、教育機関が保有する大量の機密データを保護することの難しさと、ゼロデイ脆弱性やサプライチェーン攻撃といった高度な脅威に対する防御の複雑さを浮き彫りにしました。大学が失われた信頼を回復し、将来の攻撃から学生や教職員の情報を守るためには、透明性のある情報開示と、より強固なセキュリティ対策の実施が不可欠となるでしょう。
参考情報
本記事は以下の情報源を参考に作成されました:
- -Clop Ransomware Group Linked to 3.5m University of Phoenix Breach - https://www.infosecurity-magazine.com/news/university-phoenix-breach-clop/
- -3.4 Million Impacted In University Of Phoenix Ransomware Attack - https://nationalcioreview.com/articles-insights/extra-bytes/3-4-million-impacted-in-university-of-phoenix-ransomware-attack/