ダイブ・ブリーフ:
- 脅威アクターが再びInstructureのCanvasラーニング・マネジメント・システムへの不正アクセスを5月7日に獲得し、edテック企業はそのウェブサイトで確認しました。最終試験シーズンが進行中のため、この事件は全国の学区と大学の学生と教師に混乱をもたらしました。
- 学校と大学はCanvasの停止の影響を受けた欠落または遅延した課題に対して猶予期間を提供する必要がありました。例えば、ペンシルベニア州立大学は、最新の事件後、5月7日夜に実施されたすべてのテストと5月8日の終日にわたるすべてのテストがキャンセルされたことを発表しました。
- 5月8日現在、Instructureはカンバスがオンラインに戻り、使用が安全であることを報告しました。しかし、edテック企業が事件を調査しているため、一部の地域や大学は一時的にカンバスを無効にしました。
ダイブ・インサイト:
Instructureによると、これはキャンバスラーニング・マネジメント・システムを対象とした8日以内の2番目のサイバーセキュリティ事件です。同社は5月1日に最初の事件をそのウェブサイトのステータス更新で発表しました。
Instructureによると、脅威アクターは4月29日と5月7日の両方の事件で、Free-For-Teacherアカウントの問題を悪用することでCanvasを侵害しました。このため、edテック企業はCanvasプラットフォームの中核となるこれらのアカウントを一時的にシャットダウンすると述べました。
Canvasは成績、課題、出欠席、コース教材を含む学生情報に使用されます。
バージニア州ロアノークカウンティ公立学校は5月7日のCanvasインシデントについて声明を発表し、「一部のユーザーが、Canvasシステムにログインした際に、このインシデントに関連するメッセージが今日自分のコンピュータに表示されている可能性があります」と述べました。地域はさらに学生とスタッフにメッセージに関わらないよう助言しました。
大学の独立系学生新聞であるデイリー・ペンシルバニアン紙によると、ペンシルベニア大学のCanvasユーザーもシャイニーハンターズとして知られるサイバー犯罪グループからのメッセージをそのシステムで見ました。ハーバード大学、オクラホマ大学、カリフォルニア大学の複数キャンパスを含む米国の大学の学生出版物は同様のメッセージを報告しました。
このメッセージはShinyHuntersのCanvasへのデータ侵害によって影響を受けたと主張される学校のリストにリンクしていました。それは、それらの学校がInstructureに与えられたのと同じ期限である5月12日までにサイバー犯罪グループとの合意を交渉できると述べていました。
4月29日の侵害中、Instructureは、影響を受けた組織のCanvasユーザーが名前、メールアドレス、学生ID番号、メッセージを含む特定の個人情報が露出していたと述べました。
5月7日には追加データはアクセスされませんでしたが、「不正な行為者がCanvasを通じてログインしていた一部の学生と教師に表示されたページに変更を加えた」と同社は述べました。
Canvasの停止とサイバーセキュリティ事件は「学校によって収集された機密情報を保護しなかった実際の影響を強調している」と、非営利団体Center for Democracy & Technologyの市民技術の公平性ディレクター、エリザベス・レアードは5月8日の声明で述べました。
「この事件は本質的な学習活動に干渉しただけでなく、非常に個人的な情報を含む可能性があるメッセージを含む、ほぼ3億人のユーザーに関する機密データを露出させました」とレアードは述べました。
同時に、レアードは米国教育省の教育技術オフィスが昨年廃止されたことを指摘しました。このオフィスは学校の責任あるテクノロジー利用を支援していたと彼女は述べました。さらに、学校向けのサイバーセキュリティサポートに対する大幅な予算削減がありました。
「これは、学校およびそれらと協力する企業が、教室で保護されるのと同じ方法で学生と教師をオンラインで保護する法的および倫理的責任を持つという重要な目覚まし呼び出しです」とレアードは述べました。
Instructureは近年大規模なデータ侵害に直面した唯一のedテック企業ではありません。その他の最近の高名なサイバー攻撃には、PowerSchool(クラウドベースのK-12ソフトウェアプロバイダー)およびIlluminate Education(学生情報システムプロバイダー)が含まれます。
Canvasインシデントは、学校の学生とスタッフがedテックプラットフォーム内の大量の機密データに対して「ほぼコントロールできない」という思い出させるもので、パデュー・グローバルのサイバーセキュリティ教授であり、グローバル技術専門家団体である電気電子技術者協会の上級会員であるシャイラ・ラナが、K-12 Diveへの5月8日の声明で述べました。
「本当に非対称性です:ユーザーはオプトアウトできず、自分のデータがどのように保護されているかを有意義に監査することができず、問題が発生した場合の結果を吸収することが残されています」とラナは述べました。「このようなプラットフォームへの攻撃を特に破壊的にしているのはインフラストラクチャの依存性です。最終試験の週に機能停止したため、数千の機関のアカデミックな継続性を同時に妨害しました。」
一方、学校を超えたスクリーン(Schools Beyond Screens)のポリシーディレクターであるケイト・ブロディ—ロサンゼルス統一学区が学校でスクリーン時間とデバイスを制限するよう推し進めた組織—は、5月8日の声明で、Canvasインシデントが学校が「テクノロジーの過度な使用を審問する」必要がある理由の「完璧な例」であると述べました。
