Instructureは月曜日に無許可の脅迫行為者と「合意」に達しました。わずか1週間以上の間にサイバー犯罪者が教育技術プロバイダーのCanvasラーニングマネジメントシステムに2回侵入した数日後のことです。
木曜日の最新のサイバーセキュリティインシデントは、サイバーギャングのShinyHuntersがCanvasプラットフォーム上のユーザーに表示されるメッセージを投稿した後、全国の学校と大学に広範な混乱をもたらしました。投稿では、学校は火曜日までにShinyHuntersと和解交渉ができると述べられており、これはInstructureに与えられた同じ期限です。
サイバーセキュリティの専門家は、Instructureの合意がランサムウェアの支払いであると思われ、FBIが強く不奨励にしている慣行です。
Instructureは、名前のない脅迫行為者との合意の一部として、盗まれたデータが教育技術会社に返却され、「シュレッドログ」の形式でデータ破棄のデジタル確認を受け取ったと述べました。脅迫行為者は、このインシデントからInstructureの顧客は恐喝されないと述べ、違反の影響を受けた個人は彼らと関わる必要がないとInstructureは述べました。
「サイバー犯罪者を扱う場合、完全な確実性はありませんが、顧客に追加の安心を与えるために、可能な限りのあらゆる措置を講じることが重要だと考えています」とInstructureはそのウェブサイト上の月曜日の声明で述べました。
データが削除される「保証」なし
ShinyHuntersはCanvasサイバー攻撃の背後にいるグループとして確認されており、サイバーセキュリティおよびオンラインプライバシー製品レビューウェブサイトのComparitechのデータリサーチ責任者であるRebecca Moodyは、火曜日の声明で、グループが5月3日に漏洩サイトに最初のインシデントについて投稿したと述べています。
Moodyによると、5月3日の投稿で、ShinyHuntersは世界中の9,000校から約2億7,500万人のユーザーから3.65 TBのデータを盗んだと主張しています。Instructureは、最近のデータ侵害によって何校またはどのユーザーが影響を受けたかを確認していません。
「このポストと個々の学校ごとの脅威ShinyHuntersが送ったことは、おそらくInstructureにデータが漏洩するのを防ぐために身代金要求に応じるよう圧力をかけました」とMoodyは述べました。「しかし、ShinyHuntersはサイバー犯罪者であることを忘れずに。この身代金要求を支払うことによってさえ、Instructureはデータが削除されることを保証することはできません。」
データ侵害をめぐる複数の集団訴訟がすでに連邦地方裁判所に対してInstructureに提起されています。
Instructureは先週、ハッカーが4月29日と5月7日にFree for Teachersプラットフォームを通じてシステムへの無許可アクセスを取得したことを確認しました。露出したデータにはユーザー名、電子メールアドレス、コース名、登録情報およびメッセージが含まれていたとInstructureは述べました。同社は「コアラーニングデータ(コースコンテンツ、提出物、認証情報)は危険にさらされていない」と付け加え、Canvasはフルオペレーショナルで安全に使用できます。
セキュリティと技術研究所の準備と対応の上級ディレクターであるMichael Kleinは、ほとんどの場合FBIに同意し、組織がデータ侵害後にサイバー犯罪者に身代金を支払うべきではないと述べていますが、時には侵害されたデータが物理的害をもたらす可能性のある状況があります。病院に対するランサムウェア攻撃などです。その場合、身代金を支払うことが必要かもしれないと彼は述べました。
しかし、Instructureのインシデントでは、Kleinは、報告された侵害されたデータが支払いを必要とするようなシナリオの下に該当していないと考えていると述べました。
「また、サイバー犯罪グループがその言葉を守り、その後の下流のすべての人々を恐喝しないと信頼することはできません」とKleinは述べました。
連邦政府および州サポートの必要性
2024年12月にPowerSchoolがハッキングされたとき、Kleinは米国教育省でサイバーセキュリティの上級顧問として働いていました。当時、彼は数日のうちに41州とグアムを集め、課題の理解方法、会社とのコミュニケーション方法、学校への影響を軽減する方法など、インシデントに関する情報を共有することができました。
Instructureへの最新のサイバー攻撃まで早送りすると、その連邦当局および構造はもはや存在しないとKleinは述べました。セキュリティと技術研究所での彼自身の能力では、Kleinは木曜日のインシデントから「広範な」および「理解できるパニック」の後、金曜日に22州を集めることができたと述べました。これは多くの学校および大学システムに混乱をもたらしました。
教育省がPowerSchoolインシデント中に1年半前に州を集めたとき、その保護された集会は重要なインフラストラクチャパートナーシップ諮問評議会を通じて可能になったとKleinは述べました。しかし、1年ちょっと前に、米国国土安全保障省がその評議会の権限を終了したと彼は述べました。
国土安全保障省の長官は議会なしでその権限を復元できるとKleinは述べており、その後、連邦政府は再び同様の集会をすぐに開くことができます。
Kleinは、連邦の複数州情報共有分析センター(MS-ISAC)への資金提供を復元することで、学区および州教育機関が可能な限り多くのサイバーセキュリティ脅威情報への無料アクセスを得られると付け加えました。
「このインシデント、およびPowerSchoolインシデント同様に、このような仕事を自分たちで行うことができない機関のために能力を構築するために、連邦および州レベルのサポートの重要性を示しています」とKleinは述べました。
一方、火曜日に、ソフトウェア・情報産業協会は議会の両院の議員に手紙を送り、学校がデジタル安全保障サービスにアクセスできるようにするために、2027年度の予算に3,600万ドルの投資を求めました。
SIIAはMS-ISACに資金を提供するために2,000万ドル、および学校固有のサイバーインシデント管理のための中央ハブを再確立するためにReadiness and Emergency Management for Schools Technical Assistance Centerに1,000万ドルを求めました。グループはまた、教育サイバーセキュリティの調整をリードする機関としてのその役割で教育省をサポートするためにさらに600万ドルが必要であると促しました。
「2025年の連邦資金シフトに続く重要な脅威監視サービスから学区の「オフボーディング」および主要な技術支援センターの閉鎖により、米国のK-12教育セクターは現在10年間で最も脆弱な状態にあります」と、労働、保健と人間サービス、教育および関連機関に関する上院歳出小委員会の指導者へのSIIAの手紙で述べられました。
翻訳元: https://www.cybersecuritydive.com/news/canvas-agreement-threat-actors–ransomware/820084/
