eSecurity Planetのコンテンツと製品の推奨事項は編集的に独立しています。パートナーへのリンクをクリックすると、当社が報酬を得ることがあります。詳細を読む
米国全域の学生は、ShinyHuntersに関連した恐喝キャンペーンの一環として、数百のCanvasログインポータルを改ざんした脅威行為者により、最終試験週間中にコースワーク、クイズ、および成績からロックアウトされました。
この破壊は、世界中の大学、高等教育機関、および学区に影響を与え、クラウドベースの教育プラットフォームが直面する増加するサイバーセキュリティリスクを強調しています。
「ShinyHuntersはInstructure(再び)に侵入しました。解決するために私たちに連絡する代わりに、彼らは私たちを無視して『セキュリティパッチ』を行いました」と、グループはCanvasログインポータルの改ざんメッセージで述べました(BleepingComputerによると)。
Canvasインシデントからの主要なポイント
- ShinyHuntersに関連した脅威行為者がCanvasログインポータルを改ざんし、現在約330の教育機関に影響を与えています。
- この破壊は最終試験週間中に学生と教職員に影響を与え、コースワーク、成績、および課題へのアクセスを制限しました。
- このインシデントは、攻撃者がCanvasプラットフォームに関連する2億8,000万人の学生およびスタッフレコードを盗んだという主張に続きます。
- レポートは、攻撃者が機関のログインページの変更を許可する脆弱性を悪用したことを示しています。
- このキャンペーンは、集中型クラウドベースの教育プラットフォームおよびSaaS恐喝戦術に関連する増加するリスクを強調しています。
最近のCanvasインシデントについてこれまでのところ何がわかっているか
| インシデントの詳細 | 報告された情報 |
| 影響を受けたプラットフォーム | Instructure Canvas |
| 脅威行為グループ | ShinyHunters |
| 攻撃タイプ | 恐喝とポータル改ざん |
| 推定影響を受けた機関 | 約330 |
| 報告された影響 | ログインポータルの改ざん、サービスの中断 |
| 攻撃のタイミング | 米国の大学最終試験週間中 |
| 影響を受けた地域 | 米国およびオーストラリアとされている |
| ベンダー対応 | 調査が続く中、Canvasはメンテナンスモードに配置されました |
Canvasの停止は世界中の大学に影響を与えます
このインシデントは約330の教育機関に影響を与えたと報告されており、Canvasログインポータルとキャンバスモバイルアプリの両方に改ざん通知が表示されています。
Columbia、Georgetown、Harvard、Princeton、Rutgers、Kent Stateを含む大学は、学生と教職員に破壊について警告し、Redditユーザーはオーストラリアの影響を受けた大学も報告しました。
Canvasは世界中の数千の機関の集中型学習管理プラットフォームとして機能しているため、破壊は複数の地域と学術環境全体に急速に広がりました。
攻撃のタイミングはその影響を増幅させました。
米国の多くの大学では現在最終試験の途中であり、学生はコースワーク、クイズ、学習教材、成績、および課題の提出にアクセスできません。
教授と管理者はまた、Canvasサービスが利用できなくなったため、成績の最終化とセメスター終了時の学務操作の管理に問題があったと報告されています。
Instructureが前のインシデントで疑われるデータ窃盗を調査
最新の破壊は、Instructureが脅威行為者がCanvasを使用して8,800以上の学校および教育プラットフォームに関連する約2億8,000万人の学生およびスタッフレコードを盗んだという主張を調査していることを開示してからわずか数日後に起こります。
攻撃者によれば、疑われている盗まれたデータには、Canvas APIおよびデータエクスポート機能を通じてアクセスされたと報告されるユーザーレコード、登録情報、および個人メッセージが含まれています。
Instructureはその広範なインシデント中にデータがアクセスされたことを確認しましたが、その調査は進行中であると述べています。
攻撃は集中型SaaSプラットフォームのリスクを強調
レポートは、改ざんキャンペーンが機関のログインページの変更を許可する脆弱性をInstructureのシステムで悪用したことを示しています。
技術的な詳細は開示されていませんが、このインシデントは、恐喝グループがデータ窃盗と公開破壊を組み合わせて、組織に身代金を支払うよう圧力をかけることがいかに増加しているかを強調しています。
このキャンペーンはまた、集中型クラウドベースの教育技術エコシステムに関連する増加するリスクを強調しています。
数千の学校が単一のプラットフォームプロバイダーに依存しているため、1つのベンダーに影響する侵害は数百の機関全体に急速に連鎖する可能性があります。
このインシデントへの対応として、Instructureはその後、攻撃を調査および対応しながら、Canvasをメンテナンスモードに配置しました。
同社は、違反の全範囲を決定し、影響を受けたサービスを復元するために作業を続けていると述べています。
組織がサイバーレジリエンスを向上させる方法
恐喝グループが大量の機密学生およびスタッフデータを保存するSaaSプロバイダーをますますターゲットにしているため、組織は学習管理システムおよび関連サービスをどのように保護するかを再評価する必要があります。
- 特権アカウントアクセスを確認し、機密システムおよびデータへの不要なエクスポージャーを制限するためにロールベースのアクセス制御を適用します。
- フィッシング耐性多要素認証を管理者、教職員、および他の高リスクアカウントに要求します。
- 不要なAPIアクセスを制限し、データエクスポートアクティビティを厳密に監視して、悪用または不正なダウンロードの兆候がないか確認します。
- 認証、API、およびプラットフォームログをSIEMに一元化して、疑わしいアクティビティと不正なポータル変更をリアルタイムで検出します。
- クラウド学習プラットフォームベンダーの定期的なサードパーティセキュリティ評価を実施し、インシデント対応とデータ保護の実践を確認します。
- オフラインバックアップを維持し、重大なプラットフォームが利用できなくなった場合に備えて代替通信と学習継続計画を確立します。
- テーブルトップ演習を通じてインシデント対応および災害復旧計画をテストして、SaaSの停止、ランサムウェア、およびデータ恐喝シナリオをシミュレートします。
これらの対策を実装することは、教育機関が進化する恐喝の脅威への露出を減らし、将来のSaaSプラットフォーム攻撃と破壊に対する大きな運用回復力を構築するのに役立つ可能性があります。
集中型クラウドプラットフォームのリスク
Canvasインシデントは、集中型クラウドプラットフォームに大きく依存する際に組織が直面する増加するリスクを強調しています。
教育機関は複雑で分散したIT環境全体で大量の機密学生およびスタッフデータを管理しているため、しばしば魅力的なターゲットです。
この攻撃はまた、恐喝グループが従来のランサムウェア戦術を超えてどのように拡大しているかを反映しています。
システムの暗号化に焦点を当てるだけでなく、攻撃者はデータ窃盗とサービス中断および公開圧力を組み合わせて、交渉中のレバレッジを増やしています。
クラウドベースプラットフォームへの攻撃が進化し続ける中、多くの組織はアクセス制御を強化し、エクスポージャーを削減し、侵害されたアカウントまたはシステムの影響を制限するためにゼロトラスト戦略に目を向けています。
