米国政府が大規模Canvasサイバー攻撃に関するInstructureの証言を要求

米国下院国土安全保障委員会は、同社のCanvasプラットフォームを標的にしたShinyHunters恐喝グループによる2つのサイバー攻撃について、Instructureの経営陣に証言を求めています。この攻撃により、脅迫者らは学生データを盗み、最終試験期間中に学校を混乱させることができました。

月曜日の午後にInstructure CEOのSteve Dalyに送付された書簡で、国土安全保障委員会のAndrew R. Garbarino委員長は、数百万人の学生に影響を与えるInstructureの大規模な侵害を調査していると述べました。

「国土安全保障委員会（委員会）は、Instructure Holdings, Inc.およびそのCanvas学習管理プラットフォームに依存する数千万人の学生、教育者、管理者に影響を与える最近のサイバーセキュリティインシデントに関する懸念される報告を調査しています。」

「1週間の間に、ShinyHuntersとして知られるサイバー犯罪グループはInstructureを2度侵害しました。」

BleepingComputerで最初に報告されたように、Instructureは5月3日に侵害を受けたことを明らかにしました。同社は後に、脅迫者らがそのシステムを侵害し、Canvasを使用して学生とスタッフに属するデータを盗んだ後、4月29日に侵入を検出したことを確認しました。

同社は述べたところによると、露出した情報には名前、メールアドレス、学生ID番号、およびプラットフォーム上の学生と教師の間で交わされたメッセージが含まれていました。ただし、データにはパスワード、財務情報、または政府の識別子は含まれていませんでした。

5月3日、ShinyHunters恐喝ギャングは攻撃の責任を主張し、BleepingComputerに、彼らが8,809大学から2億8000万件のデータレコードを盗んだことを伝えました。学区およびオンライン教育プラットフォームです。

脅迫者は影響を受けた教育機関のリストを共有し、盗まれたレコード数は各機関で数万から数百万の範囲でした。

ShinyHuntersグループは、米国全体の学校と大学でCanvasログインポータルを改ざんした2番目の攻撃を実行し、Instructureにグループとの交渉を要求する恐喝メッセージを表示しました。この混乱は最終試験と学期末活動中に複数州の機関に影響を与え、一部の大学は試験をキャンセルすることを余儀なくされました。

BleepingComputerは後に、脅迫者らが認証されたアドミンセッションを取得し、ログインポータルページを変更するために複数のクロスサイトスクリプティング（XSS）脆弱性を使用したことを学びました。

国土安全保障委員会の書簡によると、カリフォルニア、フロリダ、ジョージア、オクラホマ、オレゴン、ネバダ、ノースカロライナ、テネシー、ユタ、バージニア、ウィスコンシンの学校は、インシデントに関連する混乱を報告しました。

委員会はまた、攻撃者が投稿したメッセージを参照しました。これは同社がグループとの交渉を拒否したため、彼らが再度Instructureを標的にしたと主張しています。

昨夜、ShinyHuntersがInstructureをそのデータリークサイトから神秘的に削除した直後に、同社はShinyHuntersとの合意に達したことを明らかにしました。公開リークを停止し、盗まれたデータが削除されたことを確認するためです。

同社は身代金を支払ったことを直接述べたり、メール経由でBleepingComputerの質問に直接確認したりしませんでしたが、恐喝グループは何らかの形の支払いまたは合意に達しない限り、盗まれたデータを削除することやリークを停止することに同意することはめったにありません。

恐喝ギャングは本日、そのデータリークサイトを更新し、データが破棄されたこと、および学校が交渉するために独立して彼らに連絡する必要がないことを主張する新しい声明を出しました。

国土安全保障委員会は、繰り返された侵害は同社のインシデント対応能力およびそれが保存するデータを適切に保護する義務について「深刻な疑問」を生じさせると述べました。

委員会は、Instructureまたはシニア企業代表者が5月21日以降にブリーフィングに参加し、両方の侵入、盗まれたデータ、その封じ込めと通知の努力、および連邦機関との調整について議論することを要求しています。