サイバー脅威研究所

ハーバード大学、フィッシング攻撃によるデータ漏洩を公表:学生、卒業生、寄付者の情報が流出

2025-11-30
Cyber Security News 編集部/ 脅威インテリジェンスアナリスト
#情報漏洩・脅威

ハーバード大学は、2025年11月24日、卒業生、寄付者、教職員などの個人情報が漏洩したデータ侵害を公表しました。この侵害は、同大学の同窓会・開発システムに対する音声フィッシング攻撃によって発生したもので、学生、卒業生、寄付者、教職員など、広範囲にわたる関係者の情報が影響を受けました。

ハーバード大学は、世界中に40万人以上の卒業生、2万人の教職員、2万4500人以上の学部生および大学院生を擁する、名門私立研究大学です。今回のデータ漏洩は、大学の評判と信頼を大きく損なう可能性があります。大学は、影響を受けた可能性のある個人に対し、注意を呼びかけるとともに、さらなる被害を防ぐための対策を講じています。

漏洩した情報には、メールアドレス、電話番号、自宅および勤務先の住所、イベント参加記録、寄付の詳細、「大学の資金調達および同窓会活動に関する伝記情報」が含まれています。しかし、ハーバード大学の副学長兼最高情報責任者であるクララ・ジェリンコバ氏と、同窓会・開発担当副学長のジム・ハッソン氏によると、侵害されたITシステムには、社会保障番号、パスワード、クレジットカード情報、または財務情報は含まれていませんでした。この点は、被害の範囲を限定する上で重要な要素となります。

大学は、このインシデントに関して、法執行機関および第三者のサイバーセキュリティ専門家と協力して調査を進めています。また、情報がアクセスされた可能性のある個人に対して、2025年11月22日にデータ侵害通知を送信しました。大学は、影響を受けた可能性のある個人に対し、大学を名乗る不審な電話、テキストメッセージ、または電子メール、特にパスワードのリセットや機密情報を要求するものに注意するよう促しています。

音声フィッシング攻撃の全容と初期侵入

今回のデータ侵害は、音声フィッシング(ビッシング)攻撃が起点となりました。2025年11月18日、ハーバード大学は、同窓会・開発部門が使用する情報システムが、電話を利用したフィッシング攻撃の結果、不正アクセスされたことを発見しました。大学は直ちに攻撃者のシステムへのアクセスを遮断し、さらなる不正アクセスを防止するための措置を講じました。

攻撃者は、電話を通じて大学関係者を装い、機密情報を詐取しようとしたと考えられます。具体的な手口は明らかにされていませんが、巧妙な話術や緊急性を装うことで、被害者を欺いた可能性があります。このような攻撃は、技術的な脆弱性だけでなく、人間の心理的な隙を突くため、防御が難しいとされています。

ハーバード大学は、攻撃者がどのようにしてシステムに侵入し、どのような情報を標的にしたのかを特定するために、詳細な調査を行っています。初期侵入の経路を特定することは、今後のセキュリティ対策を強化する上で不可欠です。また、同様の攻撃を防ぐために、教職員や学生に対するセキュリティ意識向上のためのトレーニングを強化する必要があるでしょう。

大学からの通知には、「2025年11月18日火曜日、ハーバード大学は、同窓会・開発部門が使用する情報システムが、電話ベースのフィッシング攻撃の結果、不正な当事者によってアクセスされたことを発見しました」と記載されています。この声明は、大学が迅速に対応を開始したことを示唆していますが、攻撃の詳細については依然として不明な点が多く残されています。

漏洩したデータの種類と影響範囲

今回のデータ侵害で漏洩した可能性のある情報は、多岐にわたります。具体的には、メールアドレス、電話番号、自宅および勤務先の住所、イベント参加記録、寄付の詳細、大学の資金調達および同窓会活動に関する伝記情報などが含まれます。これらの情報は、個人を特定し、悪用するのに十分な情報であり、被害者に対するなりすまし詐欺やフィッシング詐欺のリスクを高める可能性があります。

特に、寄付に関する情報は、富裕層を狙った詐欺や恐喝に利用される可能性があります。また、イベント参加記録は、個人の行動パターンや関心事を把握するのに役立ち、標的型攻撃の準備に利用されることも考えられます。漏洩した情報が悪用されることで、被害者は経済的な損失だけでなく、精神的な苦痛を受ける可能性もあります。

ハーバード大学は、漏洩した情報が社会保障番号、パスワード、クレジットカード情報、または財務情報を含まないことを強調していますが、それでもなお、個人情報の漏洩は深刻な問題です。大学は、影響を受けた可能性のある個人に対し、身に覚えのない連絡や要求には十分注意するよう呼びかけています。また、クレジットカードの利用明細を定期的に確認し、不審な取引がないか確認することを推奨しています。

大学の広報担当者は、詳細について連絡を受けた際、情報が漏洩した個人の数を特定できませんでした。このことは、大学がまだ被害の全容を把握できていないことを示唆しています。しかし、大学は、調査の進捗状況を随時公表し、透明性を確保するよう努めています。

Visualization of a data breach with data flowing out of a network.

アイビーリーグにおけるデータ侵害の連鎖

ハーバード大学のデータ侵害は、アイビーリーグと呼ばれる名門大学群で相次いで発生しているデータ侵害事件の一つです。今月に入り、プリンストン大学とペンシルベニア大学も、寄付者の情報が攻撃者にアクセスされたことを確認するデータ侵害を公表しました。これらの事件は、高等教育機関がサイバー攻撃の標的となりやすいことを示唆しています。

プリンストン大学は、2025年11月上旬にデータ侵害を公表し、卒業生と寄付者の情報が漏洩したことを明らかにしました。ペンシルベニア大学も同様に、寄付者の情報がサイバー攻撃によって盗まれたことを発表しました。これらの大学は、ハーバード大学と同様に、法執行機関と連携して調査を進めています。

これらの事件は、アイビーリーグの大学が共有する共通の脆弱性や、攻撃者がこれらの大学を標的にする理由がある可能性を示唆しています。例えば、これらの大学は、多額の資金を保有しており、富裕層の卒業生や寄付者の情報を持っているため、攻撃者にとって魅力的な標的となりやすいと考えられます。また、大学のシステムは、複雑で管理が難しく、セキュリティ対策が不十分な場合があることも、攻撃を容易にする要因となっている可能性があります。

アイビーリーグの大学は、今回のデータ侵害事件を受けて、セキュリティ対策の強化に取り組んでいます。具体的には、システムの脆弱性診断の実施、教職員や学生に対するセキュリティ意識向上のためのトレーニングの強化、インシデント対応計画の見直しなどが行われています。また、大学間で情報共有を行い、連携してサイバー攻撃に対抗するための体制を構築することも検討されています。

過去の事例と今回の攻撃の類似点

ハーバード大学は、2025年10月中旬にも、Clopランサムウェアグループによってデータリークサイトに追加された後、別のデータ侵害を調査していることをBleepingComputerに語っています。Clopランサムウェアグループは、OracleのE-Business Suiteサーバーのゼロデイ脆弱性を悪用して、学校のシステムに侵入したと主張しています。今回の音声フィッシング攻撃によるデータ侵害との関連性は現時点では不明ですが、ハーバード大学が継続的にサイバー攻撃の標的となっていることがわかります。

Clopランサムウェアグループは、過去にも多くの企業や組織を標的に、ランサムウェア攻撃を仕掛けています。同グループは、身代金を要求するだけでなく、盗み出したデータを公開すると脅迫することで、被害者を圧迫する手口を用いています。OracleのE-Business Suiteサーバーのゼロデイ脆弱性を悪用した攻撃は、高度な技術力と情報収集能力を必要とするため、同グループが組織的に活動していることを示唆しています。

今回の音声フィッシング攻撃は、Clopランサムウェアグループによる攻撃とは異なり、より古典的な手法ですが、依然として効果的な攻撃手段です。音声フィッシング攻撃は、技術的な知識がなくても実行できるため、多くのサイバー犯罪者によって利用されています。また、人間の心理的な隙を突くため、防御が難しいという特徴があります。

ハーバード大学は、過去のデータ侵害事件の教訓を生かし、今回の音声フィッシング攻撃による被害を最小限に抑えるよう努めています。大学は、法執行機関やサイバーセキュリティ専門家と連携して、攻撃者の特定と逮捕を目指すとともに、再発防止のための対策を講じています。

Incident response team working to contain a cyber attack.

大学が講じるべきセキュリティ対策の強化

今回のデータ侵害事件を受けて、ハーバード大学は、セキュリティ対策の強化を迫られています。具体的には、以下のような対策が考えられます。

まず、教職員や学生に対するセキュリティ意識向上のためのトレーニングを強化する必要があります。音声フィッシング攻撃の手口や、不審な連絡を見分ける方法などを教育することで、人的な脆弱性を低減することができます。また、定期的に模擬フィッシング攻撃を実施し、教職員や学生のセキュリティ意識を評価することも有効です。

次に、システムの脆弱性診断を定期的に実施し、セキュリティホールを早期に発見し、修正する必要があります。特に、外部からのアクセスが多いWebアプリケーションや、データベースサーバーなどは、重点的に診断を行う必要があります。また、脆弱性管理ツールを導入し、脆弱性の発見から修正までのプロセスを自動化することも有効です。

さらに、多要素認証(MFA)の導入を検討する必要があります。多要素認証は、パスワードだけでなく、別の認証要素(例えば、スマートフォンアプリや生体認証)を組み合わせることで、不正アクセスを防止する効果があります。特に、重要な情報システムや、管理者アカウントには、多要素認証を必須とすることが望ましいです。

最後に、インシデント対応計画の見直しを行う必要があります。データ侵害が発生した場合に、迅速かつ適切に対応するための計画を策定し、定期的に訓練を実施することで、被害を最小限に抑えることができます。また、インシデント対応チームを組織し、役割と責任を明確化することも重要です。

参考情報

本記事は以下の情報源を参考に作成されました:

この記事をシェア:
← 新しい記事
DoorDash、ソーシャルエンジニアリング詐欺による顧客データ侵害を確認
古い記事 →
イベリア航空、サプライヤーのセキュリティ侵害により顧客データ漏洩を発表

関連記事

アスクル情報流出

アスクルを襲ったランサムウェア:70万件超の記録流出とサプライチェーンへの波紋

日本の大手EC・物流企業アスクルがランサムウェア攻撃を受け、70万件以上の顧客・取引先情報が流出。物流網が麻痺し、無印良品などサプライチェーンにも影響が及んだ事件の全貌に迫る。

2025-12-25

クーパン情報漏洩

クーパン大規模情報漏洩、CEO辞任と国際訴訟の波紋

韓国最大のオンライン小売業者クーパンで3300万件超の顧客情報が流出。CEOが辞任し、米国親会社が介入。政府の厳格な調査と国際的な集団訴訟の動きが加速している。

2025-12-24

Salt Typhoonの通信網攻撃

T-Mobileを含む米通信大手襲撃:中国国家支援型ハッカー集団「Salt Typhoon」の広範な諜報活動

米国の複数の通信事業者が、中国国家支援型ハッカー集団「Salt Typhoon」による大規模なサイバー諜報活動の標的となり、T-Mobileもその被害を認めた。高価値標的の通信記録や法執行機関への情報要求までが狙われたこの攻撃は、その手口の巧妙さと広範な影響で、国際的なサイバーセキュリティの脅威を浮き彫りにしている。

2025-12-17