「あなたはもっとふさわしい人だった」:Canvas脆弱性後にInstructure CEOが謝罪、企業がハッカーに支払ったことを認める…


  • Instructureが盗まれたデータを削除し恐喝を停止するためにShinyHuntersに支払ったことを確認
  • 契約にはデジタル「シュレッドログ」が含まれ、影響を受けたすべての顧客をカバー
  • 支払い額は未公開;法執行機関は身代金の支払いが犯罪に資金を提供し安全を保証しないと警告

Instructureは、データを削除して今後顧客をターゲットにしないという条件で、ShinyHuntersの身代金要求に支払ったことを確認しました。

このニュースは企業の最高経営責任者(CEO)であるSteve Dalyによって確認されました。彼はブログ投稿で対応を説明しました。

「Instructureは、この事件に関わった不正な行為者との合意に達しました。」と発表では述べられています。「その合意の一部として、データは私たちに返却され、データ破棄のデジタル確認(シュレッドログ)を受け取りました。この事件の結果として、Instructureの顧客が公開または別の形で恐喝されることはないと通知されました。」

取引条件

Dalyはまた、この合意が影響を受けたすべての顧客をカバーしており、個々の顧客がShinyHuntersと関わろうとする必要がないことを強調しました。

Instructureが結局いくらの金を支払ったかは述べられていません。また、法執行機関は通常、身代金要求への支払いに対して警告しています。なぜなら、それはさらなる攻撃に資金を提供するだけであり、盗まれたデータがダークウェブのどこかに浮上しないことを保証しないからです。また、同じグループまたは異なるグループが将来再び攻撃しないことを保証することもできません。

2026年5月初旬、人気のあるCanvas学習システムの背後にあるedtechの大手企業であるInstructureがサイバー攻撃を受けたことが報じられ、敏感な顧客データを失いました。その数時間後、ShinyHuntersはInstructureをデータ漏洩サイトに追加し、この脆弱性は学生、教師、その他の職員を含むほぼ9,000校と2億7,500万人の個人に影響を与えると述べました。

「学生と教師、および学生と他の学生間の数十億のプライベートメッセージが関連し、個人的な会話や他の個人特定情報が含まれています。あなたのSalesforceインスタンスも侵害されたし、多くの他のデータが関連しています。」とShinyHuntersは当時述べたと思われます。

数日後、グループはInstructureのログインポータルを改ざんして圧力を高め、ハーバード、MIT、オックスフォード、スタンフォード、プリンストン、コロンビア、ケンブリッジ、コーネル、バークレー、ジョージタウンなどの著名な被害者の名前を挙げました。また、Amazon、Apple、Ciscoもリストアップされました。

翻訳元: https://www.techradar.com/pro/security/you-deserved-more-instructure-ceo-apologizes-following-canvas-hack-admits-company-paid-hackers-to-get-stolen-data-back

ソース: techradar.com