2025年10月31日、ペンシルベニア大学の卒業生・学生・職員が、教育大学(GSE)を名乗るハッカーから複数の偽メールを受信。
メールは挑発的な文面で「FERPA違反」「寄付をやめろ」などと書かれ、大学広報Ron Ozio氏は「偽メールであり、現在対応中」とTechCrunchにコメントした。
事件は、大学がホワイトハウスの「高等教育の学問的卓越性協定(Compact for Academic Excellence)」への参加を拒否した直後に発生。
学長J. Larry Jameson氏は、同協定が「保守的思想のみを優遇する一方的な条件を課す」として公式サイトで拒否声明を発表していた。
攻撃の主目的は寄付抑制とみられ、実際のデータ流出は確認されていない。
From: 
Hackers threaten to leak data after breaching University of Pennsylvania to send mass emails
【編集部解説】
ペンシルベニア大学で発生した今回の事件は、表面的には「メールシステムがハッキングされた」「データ漏えい予告があった」と報じられていますが、実態を深く読み解くと、必ずしも全ての主張が事実であるとは限りません。
大学側による公式声明によれば、外部からの攻撃により教育大学のメールアドレスなどを使って攻撃的かつ不穏な内容のメールが大量送信されました。このメールは大学関係者の正規メールアドレスを不正に利用して広く送信され、コミュニティ全体に混乱を引き起こしました。
※送信経路や使用されたメール基盤については、大学や当局からの正式な発表は現時点でありません。
しかし現時点で、大学の主要なデータベース(学生・卒業生・寄付者情報など)が実際に流出した明確な証拠は公式には出ていません。
一方、ハッカー側は1.2ミリオン(120万人)分の寄付者記録の取得を宣言し、サンプルデータの一部や侵入経路について外部メディアに提供しています。しかし大学や独立系サイバーセキュリティ専門家の調査を総合すると、システム全体の情報漏えいは公式に認められておらず、依然「虚偽も含む」とみなされています。
今回の事件の背景としては、大学がホワイトハウスの政治的提案(連邦資金供与と引き換えにアファーマティブ・アクション廃止などを約束する内容)を拒否した直後というタイミングが指摘されており、学内外の対立や社会的議論とも無関係ではありません。しかし犯行声明では「政治的動機ではなく寄付者データの入手が主目的」とも説明されているため、報道では複数の動機が混在しています。
技術的側面から見れば、大学の公式マーケティングクラウド基盤が攻撃経路になったのは、現代のクラウド型サービスに対する脆弱性・リスクを如実に示しています。近年、教育機関がセールスフォースやMS365など外部クラウド基盤を活用するケースが増えていますが、一度認証情報が流出すると短時間で広範囲に攻撃が物理的にも社会的にも拡大します。「社会的インパクト」「レピュテーションリスク」については通常のマルウェア攻撃以上に深刻です。
今後はこうした「騒動型」「名誉毀損型」のサイバー攻撃がより巧妙化し、寄付の減少、学生募集への影響、社会的信用低下、政府や規制当局の介入など、様々な長期的な波及効果をもたらす可能性も浮上しています。大学のブランド価値や個人情報保護への信頼性、また社会全体へのシグナルが一層問われる事案だと考えます。
【用語解説】
FERPA(Family Educational Rights and Privacy Act)
米国教育機関における学生情報保護法。
アファーマティブ・アクション
雇用や入学などで少数派を優遇する政策。
トランスジェンダー
自認する性が出生時の性と異なる人。
Salesforce Marketing Cloud
大規模なメールや広告配信を自動化するクラウド型マーケティング基盤。
【参考リンク】
University of Pennsylvania公式サイト(外部)
事件の舞台となったペンシルベニア大学。米国フィラデルフィアに本部を置く名門私立大学。
Salesforce Marketing Cloud公式概要(外部)
クラウド基盤で大規模なメール配信やマーケティング自動化ができるサービス。
【参考記事】
Penn hacker claims to have stolen 1.2 million donor records in data breach(外部)
ハッカーが120万件の寄付者データを盗んだと主張する事件詳細と大学側の公式対応。
University of Pennsylvania ‘We Got Hacked’ Email Incident(外部)
Salesforce基盤の脆弱性や攻撃経路、技術的な背景を詳しく解説する分析記事。
“We got hacked” emails threaten to leak University of Pennsylvania data: What we know(外部)
事件内容やハッカーの主張、専門家見解を含む総合的なまとめ。
【編集部後記】
今回の事件は、デジタル時代の信頼やブランド価値の大切さ、人と情報の関係性を深く問いかけてくれます。
サイバーリスクは身近な問題であり、大学や企業だけでなく私たち自身にも影響します。この事案を通じて、皆さんがどんな疑問や関心をお持ちになったか、ぜひ感じたこと、ご意見をお寄せいただけるとうれしいです。
