Canvas学習管理プラットフォームは、米国内で連邦規模の危機へと拡大しました。ShinyHuntersコレクティブによって企画された2度の侵入に続き、教育機関は広範なデータ流出、認証ポータルの改ざん、および最終試験の時期における重大なシステム障害に苦しんでいます。その結果、下院国土安全保障委員会はCanvasの親会社であるInstructureの指導部に対して正式な説明責任を要求しました。
委員長のアンドリュー・ガルバリーノはInstructureのCEOスティーブ・デイリーに厳しい通知を送りました。議員たちは、敵対者が1週間以内にこの企業のインフラに2度成功裏に侵入し、世界中の数千万の学生、教育者、管理者が利用するプラットフォームを危険にさらしたかについて明確にしようとしています。Instructure自体は、Canvasを世界中で3000万を超えるアクティブユーザーをサポートする重要なサービスと位置付けています。
委員会の通信によると、最初の攻撃は5月1日に発生しました。この侵害の間に、不正な行為者は学生と教職員の個人識別情報(PII)へのアクセスを確保しました。Instructureは、侵害されたデータセットに学生名、個人メールアドレス、機関識別子、および個人的な学術通信が含まれていたことを明らかにしました。ただし、同社は、パスワード、財務テレメトリ、および政府発行の身分証明書は被害を受けなかったと主張しています。
ShinyHuntersシンジケートは、そのリークリポジトリで、ほぼ9,000の世界的教育機関全体で約2億7,500万人の個人に関するデータを収集したと宣言しました。委員会はこれらの数値の信頼性が未検証のままであることに注目しましたが、Instructureの公開ナレーティブと攻撃者によって主張される規模の間の深刻な相違により、透明性のある徹底的な調査が必要になります。
危機は5月7日に激化しました。ShinyHuntersが再度Instructureのシステムに侵入し、報告によると身代金要求を全国の機関のCanvas ログインインターフェースに直接埋め込みました。標準的な認証ポータルの代わりに、学生はコレクティブの最後通牒に直面しました。これらの障害は学年度の重要な終了と一致し、学校と大学がプラットフォームの不安定性に最も脆弱な時期です。
確認された被害者はカリフォルニア州、フロリダ州、ジョージア州、オクラホマ州、オレゴン州、ネバダ州、ノースカロライナ州、テネシー州、ユタ州、バージニア州、およびウィスコンシン州を含む州に及びます。BleepingComputerからの情報は、この第2波がいくつかのクロスサイトスクリプティング(XSS)脆弱性によって促進され、敵対者が認証された管理セッションをハイジャックしてポータルのソースコードを操作できたことを示唆しています。
攻撃者に帰せられるステートメントでは、ShinyHuntersは、その企業が交渉に従事するのではなくセキュリティパッチをデプロイすることを選択したため、Instructureを再度標的にしたと主張しました。シンジケートは解決策がない場合、2026年5月12日に盗まれたデータの完全な公開を脅迫しました。その後、同社がグループとの合意を発表したため、Instructureの名前はリークサイトから削除されました。Instructureは身代金支払いの確認を控えましたが、コレクティブはそのポータルを更新してデータを「破棄された」と宣言し、被害者に追加の支払いが求められないことを保証しました。
国土安全保障委員会は、これらの連続した侵害をInstructureの運用上の準備に関する厳密な調査の触媒と見なしています。議員たちはその企業が初期の侵害に続く脆弱性を是正する能力と機関データを保護するためのコミットメントを評価することを意図しています。委員会は2026年5月21日までにInstructureの上級代表者からの説明を要求し、流出の範囲、封じ込め措置の有効性、およびCISAと連邦法執行機関との企業の協力の性質について詳述することを義務付けています。
