TokyoBlackHatNews

theregister.com 5分で読了

ダブルキャンバス侵害を認めたShinyHuntersが新たな身代金支払い期限を設定

セキュリティ

更新:申し訳ありません、皆さん。すべてのシステムが復旧しました。新しい課題に取り組んでください。課題は「身代金を支払うことの倫理」についてのエッセイです。それがここで実際に起こったようだからです。

教育技術大手のInstructureは、2週間以内にオンライン学習プラットフォームCanvasに影響を与える2回の不正アクティビティを確認しました。同時に、データ盗難・恐喝グループShinyHuntersは、世界中の約9,000の学校に関連する275百万人以上の学生、教師、スタッフに属するとみられるデータを流出させると脅迫しました。

セキュリティインシデントの更新で、Instructureは先週木曜日にCanvasがオフラインになった混乱について謝罪しました。これにより、最終試験とAdvanced Placementテスト中の多くの大学、大学、K-12学校がコース資料、成績、締切日にアクセスできなくなりました。

親会社は土曜日現在、「Canvasは完全にオンラインに戻り、使用可能な状態です」と述べていました。

同社は月曜日にようやく沈黙を破り、2つの侵害を認めました。犯罪者がFree-for-Teacherラーニングシステムのセキュリティ脆弱性を悪用した後、データ泥棒がユーザー名、メールアドレス、コース名、登録情報、メッセージなどの情報を盗んだと述べています。

「コア学習データ(コースコンテンツ、提出物、認証情報)は危機にさらされていません」と月曜日の開示は述べています。「すべての調査結果を検証中ですが、影響を受けたものと受けなかったものについて明確にしたいと考えています。」

4月29日、オンライン教育企業は「Canvasの不正アクティビティを検出し」、侵害者のアクセスを直ちに取り消し、調査を開始したとInstructureのウェブサイトに掲載された通知に記載されています。

5月7日、同社は「同じインシデントに関連する追加の不正アクティビティを特定しました」。ShinyHuntersは約330のCanvasスクール用ログインポータルを改ざんし、同じFree-for-Teacher脆弱性を悪用しました。これにより、教育技術企業はCanvasをオフラインにして「アクティビティを封じ込めるためメンテナンスモードに入り」ました。

ShinyHuntersは3.65 TBのデータを盗んだと主張しており、ハーバード、コロンビア、ラトガース、ジョージタウン、スタンフォード大学を含む約8,800の学校から約275百万件のレコードが含まれています。身代金支払い期限を何度も延長した後、ShinyHuntersは個々の機関が直接連絡して支払いを交渉するための最終期限を5月12日の営業終了時に設定しました。そうしないとグループは完全なデータセットを公開します。

これに対応して、Instructureは一時的にFree-for-Teacherアカウントをシャットダウンしました。また、侵害されたシステムに関連する特権認証情報とアクセストークンを取り消し、内部キーをローテーションし、トークン作成パスウェイを制限し、すべてのプラットフォーム全体で監視を追加しました。

教育プラットフォームはフォレンジック分析とインシデント対応を支援するためにCrowdStrikeを雇用し、FBIに通知したと述べています。FBIはソーシャルメディアで独自の警告を公開しました。また、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁にも通知しました。

これはInstructureが1年以内に経験した2番目の侵害です。ShinyHuntersは2025年9月にInstructureのSalesforce環境を侵害したと主張していました。Instructureは最新の開示でこのグループに言及していませんでしたが、侵害に対処しました。「以前のSalesforce関連インシデントとこのCanvasセキュリティインシデントは、異なるシステムと状況を含む別個のイベントです」と同社は述べました。

2026年5月12日UTC 01:10に更新 Instructure 5月11日UTC 10:21にInstructureはインシデントレポートを更新して「すべてのCanvas環境が利用可能です」と述べました。

同社はまた「このインシデントに関与していない当事者との合意に達した」と認め、盗まれたデータを保護しました。

「データ破棄のデジタル確認(シュレッドログ)を受け取りました」と同社は述べ、「Instructureの顧客がこのインシデントの結果として公開または非公開で恐喝されることはないと通知されています」と付け加えました。

さらに:「この合意はすべての影響を受けたInstructureの顧客をカバーしており、個々の顧客が不正な当事者との関わりを試みる必要はありません。」

この声明は、Instructureが身代金を支払うという物議を醸す決定を下したという結論を導き出すのが難しくありません。

「サイバー犯罪者と取引する場合、完全な確実性は決してありませんが、私たちは可能な限り顧客に安心を与えるために私たちの管理下にあるすべての措置を講じることが重要だと考えていました」と声明は付け加えています。

泥棒の間に名誉はありません。


Logo

それを養う手をかむ

翻訳元: https://www.theregister.com/security/2026/05/12/double-canvas-intrusion-confirmed-as-shinyhunters-resets-leak-deadline/5238361

ソース: theregister.com
#Canvas #Instructure #ShinyHunters #サイバー犯罪 #セキュリティ脆弱性 #データ侵害 #データ盗難 #恐喝 #教育機関 #身代金支払い

関連記事

MD5パスワードハッシュの60%は1時間以内に破られる可能性がある

MozillaがMythos活用によるFirefoxバグ削減を誇る

Anthropicが1クリック脆弱性に対応:「OK」をクリックしてはいけなかった