6分読了
出典: pictoKraft via Alamy stock photo
教育技術ベンダーのInstructureからの回答を求める議員らは、同社のCanvasラーニングマネジメントシステム(LMS)が今月、高い知名度を持つ侵害を受け、数千の学校や大学が成績報告などの機能を利用できなくなった後に対応している。
下院国土安全保障委員会は今週、最近の攻撃についての説明を行うためInstructure委員会に出席するよう要求した。Steve Daly最高経営責任者(CEO)宛ての書簡で、委員会は1週間の間にInfamous ShinyHuntersサイバー犯罪グループに2度侵害されたのはなぜかと疑問を提示した。また、議題に乗るのは、同社が攻撃者に身代金を支払ったかどうか、および昨年秋のSalesforce環境への別の攻撃に関連しているかどうかという質問である可能性が高い。
「初期の侵害開示から数日以内に再度の侵入が発生し、そのウィンドウ中にInstructureが根本的な脆弱性を完全に修復できなかったことは、同社のインシデント対応能力と、そのデータを保有する機関および個人に対する義務についての深刻な質問を提起している」と委員会議長のAndrew R. Garbarino下院議員(R-NY)は書簡で述べており、同社は5月21日までに委員会メンバーと会合するよう要求している。
Instructureは初期の侵害を5月1日に開示し、脅威アクターが「ユーザーの特定識別情報」を取得したことを認めました。これにはユーザー名、メール、学生IDナンバー、個人メッセージが含まれます。一方、ShinyHuntersは、9,000以上の教育機関を代表するInstructureユーザーから3TB以上の機密データを保有していると主張しました。
Instructureは調査するためCanvasを一時的にオフラインにし、その後侵入を「解決した」と宣言し5月6日にそのLMSが「完全に運用可能である」ことを示した。しかし翌日、ShinyHuntersが戻ってきて、Canvasを侵害し、プラットフォームのログインページに身代金要求を投稿しました。
継続中の脅威活動は、初期攻撃に対するInstructureの対応方法、会社がその問題をどのように解決したか、そして—最も重要なことに—ShinyHuntersに最初に侵害されたのはいつかについての議員からの質問を提起しました。
Instructureはでなく身代金を支払ったか?
火曜日にInstructureに対する同様の書簡の中で、米国上院保健・教育・労働・年金委員会は攻撃を調査していると述べ、侵害の影響を受けたデータの種類やその後に実施したセキュリティの改善など、Dalyに対して多くの質問を提示しました。委員会の書簡は、Instructureが脅威アクターと「合意に達した」と述べた5月11日の声明についてのedtech企業を押し込みました。
「このインシデントの結果として、Instructureの顧客が公然とまたはその他の方法で脅迫されないという情報を受けました」とInstructureは更新で述べられており、盗まれたデータが「返却」され、攻撃者がその破壊のデジタル確認を提供したと追加で述べられています。「この合意はすべての影響を受けたInstructure顧客をカバーしており、個々の顧客が不正な行為者と関わろうとする必要はありません。」
同社は身代金の支払いを認めなかったが、それは最も可能性の高いシナリオである。ShinyHuntersはInstructureのデータリークサイトからのリストを削除したからだ。このような動きは身代金とデータ恐喝グループが通常は支払いを行う被害組織に対して保留する。ShinyHuntersも声明を発表し5月13日に、LMS企業での「最近の状況」に追加することはなく、影響を受けた組織がShinyHuntersに直接連絡する必要はもはやないと述べました。
上院委員会の書簡はまた「2025年9月の以前のサイバーセキュリティインシデント」についての質問も提起し、その攻撃に続いてどのような改善措置が講じられたかについて質問しました。問題のインシデントは同社のSalesforceインスタンスの侵害に起因し、それは開示されました2025年9月21日。Scattered Lapsus$ Hunters(Scattered Spider、Lapsus$、ShinyHuntersのメンバーで明らかに構成されているサイバー犯罪集団)は、昨年秋のSalesforce侵入の激増の一部として、Chanel やChanelやQantas Airwaysなどの企業も含めて、Instructureをそれらのリークサイトに載せました。しかし攻撃の背後にある犯人、および他の多くのSalesforce侵害は、Google Threat Intelligence Groupの研究者によるとUNC6040(ShinyHuntersと関連した脅威アクター)でした。
いずれにせよ、Salesforce攻撃のデータが今月の攻撃を実行するために使用されたかどうかについての質問を提起します。答えは不明ですが、研究者は同社が明らかに繰り返しターゲットとしてマークされていたことを強調しており、それ自体が懸念事項です。
Instructure Fails to Keep Attackers at Bay After Salesforce
2025年9月のSalesforce侵害に続いて、Instructureはソーシャルエンジニアリング攻撃から発生したと述べ、edtech企業は「迅速に活動を含むために移動した」と述べており、第三者の専門家との徹底的な調査を実施しました。「その後、同社は将来の同様のインシデントを防ぐための追加のセキュリティ対策を実装した」と開示の中で同社は述べています。Dark ReadingはInstructureに、Salesforce侵害が最近の攻撃に関連しているかについてコメントを求めるために連絡しましたが、印刷時点では会社から応答を受けませんでした。
今週のブログ記事の中で、SilverfortのチーフアイデンティティセキュリティアドバイザーであるAbbas Kudbeatiは、ShinyHuntersの最近の活動は、Salesforceインスタンスに限定された9月の攻撃と比較して「根本的に異なる」と述べた。しかし、「これはShinyHuntersがInstructureを訪問する価値のある高価値目標と見なしていることを示しており、Canvasに依存しているすべての機関は同じターゲティングが再度発生する可能性があると仮定すべきです。」と、Kudbeatiは述べています。
Silverfortのアイデンティティセキュリティ戦略副社長のRoy Akermanは、Dark ReadingにShinyHuntersのような脅威アクターが侵害からできるだけ多くのデータを収集し、フォローアップ攻撃のためにそれを最大限に活用するのは典型的であると述べています。しかし、Instructureの大きな質問は、同社がその環境内での悪意のある活動を検出すると何をしたかということです。
「私にとってのストーリーは、攻撃者は執続的であり、彼らが再利用されたデータの1つのピースを見つけたかどうかは実際には重要ではありません」とAkermanは言います。「議員たちにとって、それは過失などを示すので重要かもしれません。しかし、私は最終的には、攻撃を受けている場合、別のモードに自分自身を入れる必要があり、ある日彼らが組織に足がかりを置くと仮定する必要があります。そして、その場合の遊びは何ですか?」
おそらく、Instructureは近い将来に議員の前に出現するでしょうが、説明会が公開されるかどうかは不明です。それまでの間、Silverfortは顧客に、異常な認証動作および横方向移動の他の兆候についてリアルタイムでその環境を監視するよう促しました。「初期の侵害と重大な損害の間のウィンドウは、多くの場合、時間です」とKudbeatiは述べています。
Dark Reading Confidentialポッドキャストの最新を見逃さないでください。USB侵透テストのストーリーがどのようにバイラルになったか。20年前、Dark Readingは最初のブロックバスター記事を投稿しました—ペネテストは操作されたサムドライブをクレジットユニオンの駐車場の周りに振りかけ、好奇心のある従業員に残りを行わせた列。このエピソードは、その著者であるSteve Stasiukonisとの履歴を作成する記事を見直します。今すぐ聞く!
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/congress-instructure-shinyhunters-attacks
