ShinyHuntersがInstructureへの2番目の攻撃を主張

出典：Kristoffer Tripplaar via Alamy Stock Photo

アップデート

ShinyHuntersギャングがInstructureに対する2番目の連続侵害を主張しました。Instructureはキャンバス学習管理システム（LMS）のサプライヤーで、この主張は企業がすべてが終わったと主張してからわずか数時間後のものです。 

4月25日、ShinyHuntersサイバー犯罪組織は、ここ数年やってきたことをしました。それは大規模で十分に接続されている企業のクラウドインフラストラクチャの露出を利用して、アクセスし、盗み、大量のデータをリークするという脅迫です。ただし、今回は古い話が非直線的な経路をたどっています。Instructureは侵害が完了したと主張しましたが、ShinyHuntersは2番目の攻撃を主張し、一方この投稿の時点では破壊的な活動が進行中です。これはすべて、米国全土で最終試験週間が始まっている最中のことです。

Dark Readingはインストラクチャに連絡を取り、その以前の主張をオンラインの学生と教師のアカウントと照合しました。声明の中で、同社は「進行中のセキュリティインシデント」を経験していることを認め、それは「教師向け無料」アカウントの追加の侵害によるものだと述べました。

ShinyHuntersがInstructureを2回侵害しましたか？

侵害以来、Instructureからの公開メッセージは迅速かつ勤勉なインシデント対応（IR）を強調してきました。顧客に配布されたタイムラインは、4月29日に4日遅れで侵入を初めて発見し、攻撃者のシステムアクセスを即座に取り消したことを示しています。しかし4月30日には、「追加の疑わしいアクセス」に対処するためにさらなる措置を講じる必要がありました。

5月2日、最高情報セキュリティ責任者（CISO）スティーブ・プラウドは、「私たちはインシデントが封じ込められたと信じています」と述べました。彼はパッチの適用とキーのローテーションなど、攻撃者が戻ってこられないようにするために講じられたいくつかの手順を引用しました。5月6日、同社は「継続的な不正なアクティビティは見られていない」と改めて強調しました。

これらの主張は、オンラインで不満を抱いている学生と教師によって異議を唱えられており、彼らは教育が中断されたと報告し、ShinyHuntersのスプラッシュメッセージを5月7日まで受けていたと述べています。影響を受けた一部の学校は、ベンダーから渡された以前のより楽観的なレポートをすでに撤回しています。また、新しいShinyHuntersの身代金メモが流通しており、ハッカーは会社を再感染させたと主張しています。このメモは影響を受けた学校に対して直接交渉するオプションを提供し、以前に報告された5月6日からのリークの期限を5月12日に延期しています。

Dark Readingはオンラインの具体的な主張を確認することはできませんが、影響を受けた1人の学生がDark Readingに新しく流通しているスプラッシュページのスクリーンショットを送信し、5月7日に彼に割り込まれたと述べています。ジョージア工科大学で学んでいるデニス・ポマザノフは、「成績を表示しようとしたとき、通常のキャンバスページの代わりに身代金メッセージに挨拶されました。当時、私はキャンバスを使用して教授やクラスメートに私が持っていた質問について連絡することもできず、その状況はより落胆させました。」と回想しています。

5月8日の声明でDark Readingに対して、InstructureはPomazanovのような学生が経験していたことを認めました。5月7日、それはインシデントを再度封じ込めるためにキャンバスをオフラインにしたと報告しました。「無許可のアクターが無料教師アカウントに関連する問題を悪用したことが確認されました」と企業のスポークスパーソンは、脆弱性の正確な性質を詳しく説明することなく述べました。「その結果、無料教師アカウントを一時的にシャットダウンするという困難な決定を下しました。これにより、キャンバスへのアクセスを復元する確信が得られ、現在は完全にオンラインに戻り、使用可能になっています。」

「個人的には、すでに最終試験と宿題を終えていたので、私は幸運でした」とポマザノフは言います。「しかし、まだ勉強を試みたり、宿題を終わらせたり、試験の準備をしたりしていた何人かの友人を知っていますが、その停止はそれをはるかに困難にしました。」

Instructureは5月11日に追加のアップデートを公開し、同社が侵害の背後にある無許可のアクターと「合意に達した」と述べました。合意の一部として、Instructureは脅迫行為者が盗まれたデータを会社に返却し、声明によると「データ破壊のデジタル確認」を提供したと述べました。 

「Instructureの顧客のいかなる者もこのインシデントの結果として恐喝されないことが通知されました。公的にも、そうでなくても」とInstructureは述べました。「この合意はすべての影響を受けたInstructure顧客をカバーしており、個々の顧客が無許可のアクターと関わろうとする必要はありません。」

キャンバス経由でどの学校が侵害されましたか？

InstructureのCanvasは今日の教育で最も遍在するソフトウェアプラットフォームの1つです。それは教室への自宅にあり、学生は教師にメッセージを送信し、宿題を提出し、教師は課題を投稿して成績を投稿するなど、多くのことができます。業界アナリストはCanvasのマーケットシェアを北米の高等教育機関のLMS空間で47%と評価し、K-12では28%と評価しています。また、成人の職業教育環境で広く使用されています。

ShinyHuntersは、名前、メール、学生ID番号を含む約3.65テラバイトを盗んだと主張しており、最も興味深いことに、ほぼ9,000の機関から学生と教師の間の「数十億の個人メッセージ」を盗み、約2億7500万人を代表しています。計算上、ShinyHuntersはキャンバス顧客に触れられていないようです。北米には約4,000の認定高等教育機関があり、約10,000のLMSを使用するK-12学校があります。

勤勉な学生や関心のある当事者はShinyHuntersのリークサイトを訪問し、その犠牲者の集計を取り出し、現在はオンラインで流通しています。膨大なリストには、多くの北米高等教育機関とK-12学校、および欧州、中米などの海外の教育機関が含まれています。また、Amazon、Appleなどの大企業、ヘルスケア機関、都市や州（政府機関への言及かもしれません）も含まれています。Dark Readingはこのリストを独立してダウンロードしませんでしたが、サイバーセキュリティ研究者によって報告されたデータ、およびCanvasのユーザーベースに関する公に知られている情報と相互参照しました。

学校、企業、未成年者への危険

Instructureとその顧客からの公開声明は、攻撃者がいくつかの個人情報を盗んだが、パスワード、誕生日、財務情報などの特に機密のデータはその富に含まれていなかった可能性があることを強調しました。

それが良いニュースであるなら、悪いニュースは、会社が失ったデータに関連するリスクの純粋なスコープと多様性です。ほとんどのデータ侵害は特定の種類の人々に特定の方法で影響を与えますが、キャンバスの顧客は政府、医療、および主要な事業部門にまたがり、すべてが独自の法的および規制枠組みと追従リスクの対象です。最も明白なのは、数千のK-12学校を侵害することで、犯罪者は未成年者に属する大量のデータにアクセスでき、リークすることで脅迫しています。

「侵害が未成年者の個人データを含む場合、重大度と利害関係は大きく上昇します」とKeeper Securityのインドとフォルダーである最高経営責任者（CEO）のダレン・グッチオーネは述べています。「侵害されたクレジットカードまたはローテーションされたパスワードとは異なり、子どもの名前、生年月日、機関記録、および個人通信は置き換えることができません。その露出は彼らに従います。機関と彼らが提供する学生のために、結果は見出しが消えた後の数年間、身元詐欺、目標を絞った社会工学、および他の詐欺を通して永続することができます。」

「このインシデントが提起する難しい質問は、このスケールで動作し、このような種類のデータを処理するプラットフォームから業界が何を期待するべきかについてです」と彼は言います。「単一のベンダーがグローバルに数千の機関に提供する場合、セキュリティ標準はその責任を反映する必要があります。」

このストーリーは5月12日午前7時東部時間に更新され、Instructureからの5月11日の声明を反映しています。

最新のダーク・リーディング・コンフィデンシャル・ポッドキャストをお見逃しなく、 USBペネトレーションテストのストーリーがどのようにバイラルになったか。20年前、ダークリーディングは最初のブロックバスター作品を投稿しました。ペンテストによる列で、チューインガムドライブをクレジット組合の駐車場の周りに散布し、好奇心の多い従業員に残りをさせました。このエピソードは、著者のスティーブ・スタシウコニスと共に、歴史的なピースを調べています。 今すぐ聞いてください！