ハーバード大学は2025年11月22日、同大の同窓・寄付者対応部門(Alumni Affairs and Development, AAD)が利用する情報システムに対し、電話を用いたフィッシング(ボイスフィッシング)を起点とする不正アクセスが発生し、関係者の個人情報が閲覧された可能性があると明らかにしました。大学は不正アクセスを検知した11月18日(火)に攻撃者のアクセスを遮断し、第三者のサイバーセキュリティ専門家および法執行機関と調査を進めています。
何が起きたか
11月18日に、AAD部門の情報システムが電話型フィッシング攻撃をきっかけに不正アクセスを受けたことを大学が確認しました。発覚直後に攻撃者のアクセス権を無効化し、追加の侵害を防止しています。調査は継続中で、専用の案内ページとFAQを順次更新するとしています。
関連:ボイスフィッシング(ビッシング)とは?被害事例や対策を解説
影響範囲(対象者)
AADのシステムには、以下に該当する人々の情報が含まれており、情報が閲覧された可能性があります。
-
同窓生
-
同窓生の配偶者・パートナー・遺族
-
ハーバード大学への寄付者
-
現在・過去の学生の保護者
-
一部の在学生
-
一部の教職員
大学は11月22日付で、メールアドレスが登録されている該当者に通知を送付済みです。
流出の可能性がある情報
現時点の説明では、以下の個人情報や活動情報が含まれる可能性があります。
-
氏名、メールアドレス、電話番号
-
自宅・勤務先住所
-
大学イベントへの参加履歴
-
大学への寄付に関する詳細
-
募金や同窓連携に関わる略歴・プロフィール情報
含まれていない情報
大学によれば、今回アクセスされたシステムは社会保障番号(SSN)やパスワード、支払いカード情報、金融口座番号などを通常は保持しておらず、これらが含まれていた兆候は現時点で確認されていません。
大学の対応
-
攻撃者のアクセス遮断(11月18日)
-
第三者専門家・法執行機関と共同でのフォレンジック調査
-
影響が想定される関係者への通知(11月22日以降)
-
専用サイトとFAQでの続報提供
問い合わせ先として、Harvard University Information Technology(HUIT)のヘルプデスク(617-495-7777 / [email protected])を案内しています。
関連動向
10月中旬には、ランサムウェアグループ「Clop」が別件で大学を流出サイトに掲載し、Oracle E-Business Suiteのゼロデイ悪用を主張した事案について大学が調査中であると報じられていました。
関連記事
ハーバード大学、Oracle E-Business Suiteのゼロデイ攻撃による情報漏洩の有無を調査-Clopがリーク予告
コロンビア大学、不正アクセスによるサイバー攻撃で約87万人分の個人情報漏洩
2026年のサイバー攻撃と防御はAI活用が前提-ボイスフィッシング(ビッシング)の脅威もGoogleレポート
シスコ、ビッシング(ボイスフィッシング)による情報漏洩を公表
2025年に発生したボイスフィッシング(ビッシング)の事例
biima sports、メール誤送信で約2.3万人分の個人情報が漏洩
新潟の企業が「ボイスフィッシング」の被害-約1億9,000万円を不正送金
朝日生命が保険代理店出向者の個人情報漏洩を追加報告
電通の海外子会社Merkle(マークル)の個人情報漏洩で元従業員150人超が集団訴訟検討
