カリフォルニア大学バークレー校がハッキングの被害に--16万人に影響か

　カリフォルニア大学バークレー校（UCB）は、ハッカーが同校の医療サービスセンターにあるコンピュータに侵入し、16万人以上の在校生や卒業生の個人情報を盗み出した可能性があると、米国時間5月8日に発表した。

　UCBの最高技術責任者（CTO）であるShelton Waggener氏が8日午後の記者会見で語ったところによると、個人情報盗難の被害にあった可能性が特に高いのは、ハッカー侵入時に社会保障番号がアクセスされた約9万7000人だが、ハッカーがそれらの社会保障番号と個人名を結びつけることができたかどうかは依然として不明だという。

　攻撃者たちは公のウェブサイトにアクセスした後、同一のサーバ上にあるセキュリティ対策を施した複数のデータベースに侵入した。それらのデータベースには、社会保障番号や健康保険情報、さらに予防接種記録や患者が診察を受けた医師の名前など、治療そのものとは関係のない医療情報が含まれていた。医療記録（すなわち患者の診断や治療、療法に関する記録）は別のシステムに保存されているためすべて無事だったと、保険福祉担当の副総長であるSteve Lustig氏は強調して述べた。

　サーバへの不正アクセスは2008年10月9日に始まり、定期メンテナンスを実施していたキャンパスのコンピュータ管理者が攻撃者によって残されたメッセージを発見した2009年4月9日まで続いた。Waggener氏によると、ログの記録はハッキングが海外、「主にアジア地域」から行われていたことを示していたという。同氏はその後、攻撃の発信源を中国と特定した。

　Waggener氏によると、キャンパスポリスおよび米連邦捜査局（FBI）は即座に不正アクセスがあったとの通報を受けたが、関係者は4月21日になるまでデータの盗難に気付かなかったという。それ以降、何が盗まれたのか、そして誰が危険にさらされているのかを特定することが、捜査の焦点になっている。ハッカーが用いた具体的な手法については、継続中の犯罪捜査の一環として現在も調査中である、とWaggener氏は述べた。

　この一件とは無関係のデータベース・セキュリティ・ソフトウェア・ベンダーのSentrigoでCTOを務めるSlavik Markovich氏は、状況から判断してSQLインジェクションが用いられた可能性が高い、と考えている。SQLインジェクションとは、ウェブサイトに情報を提供するデータベースに悪意のある小さなスクリプトを挿入する手法のことだ。さらに、Markovich氏は、UCBが6カ月もの間ハッキング行為に気付かなかったことについて、UCBが適切な監視ツールを導入していたのかどうか疑わしいと述べた。また、同校が重要度の異なるデータを同一のサーバー上にホスティングしていたことにも疑問を呈した。

　UCBは5月8日、被害に遭う可能性のある16万人に対し、電子メールおよび郵便での通知を開始した。この16万人には、University Health Servicesの医療保険に加入したり、サービスを受けたりしたことのあるバークレー校の在校生および卒業生（場合により、その保護者と配偶者も）が含まれる。さらに、医療サービスに関してUCBと契約しているカリフォルニア州オークランドのミルズ大学の学生3400人も、これに含まれる。