本サイトの記事や画像はAIが公的資料や報道を整理し制作したものです。ただし誤りや不確定な情報が含まれることがありますので、参考の一助としてご覧いただき、実際の判断は公的資料や他の報道を直接ご確認ください。[私たちの取り組み]
寄付や同窓会を担うアドバンスメント部門のデータベースに外部から侵入があり、24時間近く不正アクセスが続いた。プリンストン大学は2025年11月10日の発生を公表し、氏名や連絡先、募金・寄付に関する情報が含まれていたと説明した。アイビーリーグ(米名門私立の連盟)を狙う新たな攻撃の連鎖に、大学の名簿と信頼の脆さが浮かぶ。
狙われたのは寄付・同窓の基盤
同大によると、侵入が確認されたのはアドバンスメント部門のデータベースで、2025年11月10日に発生し、学内で検知後24時間未満で攻撃者を排除したという。他の技術システムへの侵入は確認されていないと説明している。記録には氏名、メールや電話番号、住所、さらに募金活動や寄付履歴に関する事項が含まれる一方、一般的に社会保障番号や口座情報、パスワードは含まれないとしている。周知は卒業生向けメールと大学サイトで行われた。
侵入経路は、当該データベースに通常の権限でアクセスできる職員を狙った電話によるフィッシング(偽装して情報をだまし取る手口)だった。いわゆるソーシャルエンジニアリングは、巧妙な言い回しや緊急性の演出で本人確認をすり抜ける。標的が限定されるほど成功率は上がり、寄付や同窓会を束ねる部門は“連絡先と関係性”が集中するため、攻撃者にとって価値が高い。
大学は現時点で何が閲覧・取得されたかを特定中で、判明まで数週間を見込むとしている。学内外には、不審な連絡に注意し、大学職員を名乗る相手でも社会保障番号や口座情報、パスワードを尋ねる連絡には応じないよう呼びかけた。名簿を基点にした二次被害を防ぐには、いつも届く“それらしい”連絡ほど慎重に扱う姿勢が重要になる。
広がる矛先、同時期に起きた別の侵害
同時期、2025年10月31日にはペンシルベニア大学が、開発・同窓関係の一部情報システムが不正アクセスを受けたと公表した。盗まれた資格情報を使ったソーシャルエンジニアリングが入口となり、CRM(顧客関係管理システム)やファイル共有、マーケティング基盤などへのアクセスが確認された。大学は直後に封じ込めを行い、攻撃者による攻撃的な偽メール配信を止めたと説明。捜査当局へ通報し、外部の専門家と原因究明と影響評価を進めている。
さらに10月には、ハーバード大学がオラクルの業務ソフト「E-Business Suite」のゼロデイ脆弱性を起点とする侵害を確認した。脆弱性は認証なしに遠隔から悪用され得るもので、大学はアップデートの適用と監視強化を公表し、影響は限定的な行政部門の範囲にとどまるとの見立てを示した。人を欺く手口と、ソフトの欠陥を突く手口。矛先は異なっても、到達点は“大学の関係データ”という一点で重なる。
大学の募金データが持つ価値
アドバンスメントのデータベースには、寄付履歴や関心領域、所属や肩書、紹介関係といった“つながり”の情報が蓄積される。これは攻撃者にとって、なりすましメールや巧妙な詐取を設計する素材になり得る。マーケティング基盤を奪取すれば、正規ドメインから大量配信することも可能で、開封率の高い誘導が生まれる。寄付のやり取りは善意で支えられるが、同じ流れを逆手に取れば恐喝や詐取の導線にも変わる。
対策は重層が基本だ。多要素認証や通話の本人性検証、特権の最小化に加え、CRMや分析・配信系と基幹系の分離を徹底する。電話の指示で設定変更を促す運用は避け、折り返し連絡の手順を定める。権限の棚卸しやログ監視を日常化し、模擬訓練で“あり得る失敗”を前提に備える。今回、大学側は封じ込めを迅速に行い、既存の計画に沿って基盤更改を進めていると明かした。名簿は大学の力そのものだが、守り方しだいで強みと弱みの境は細い。
名簿は人とつながりの地図だ。守りを固めつつ、その価値を濁さない運用が求められる。
