大規模なデータ漏洩を確認してから数日後、インストラクチャーは今、さらなる打撃に見舞われている。
今週初め、Instructure社は、同社のクラウドホスト型Canvas環境に影響を及ぼす大規模なデータ侵害を確認しました。ハッカー集団「ShinyHunters」は、世界中の数千の学校や大学に関連する数億件の記録を盗んだと主張しています。以前のブログ記事で述べた通り、この事件では、Canvasのエクスポート機能やAPIを通じてアクセスされたとされる、学生や教職員の記録、登録情報、プライベートメッセージなどのデータが関与していた。当時、注目されていたのは大規模なデータ窃取と、被害を受けた学生やその家族に対する、なりすまし詐欺や標的型フィッシング攻撃を含む長期的なリスクであった。
新たな報道によると、ShinyHuntersが再びInstructureを標的にした。今回は、目立たないデータ窃取から、非常に目立つ恐喝へと手口を変えている。攻撃者はInstructureのシステムに存在する別の脆弱性を悪用し、数百の教育機関のCanvasログインページを改ざんし、Webログイン画面とCanvasアプリの両方に画面上の身代金要求メッセージを表示させた。
そのメッセージでは、以前の侵害事件への関与を認める一方で、インストラクチャー社および被害を受けた学校に対し、5月12日までに同グループに連絡するよう要求し、これに応じない場合は盗まれたデータを公開すると警告した。
この第2波が重要である理由は2つある。第一に、これはShinyHuntersが依然としてInstructureの環境、あるいは少なくとも学校のログインページの外観や動作を制御するコンポーネントに対して、実質的なアクセス権限を持っていることを裏付けている。第二に、これは圧力戦術が明らかにエスカレートしたことを示しており、情報漏洩の主張やダークウェブへの投稿から、コースにアクセスしようとする生徒、保護者、教職員に対して直接表示されるメッセージへと移行している。
このデータ漏洩への対処方法
生徒やご家族の皆様には、 当ブログの過去の記事に掲載された実用的なアドバイスが今も役立ちます:
- Canvas関連のパスワードをリセットする
- 可能な場合は、多要素認証を有効にしてください
- 子供が成長するにつれて、金銭面や信用面での動向を把握する
- 実在の学校、講座、または教師の名前を悪用した、高度に個人に合わせたフィッシング詐欺には十分注意してください
学校や学区にとって、今回の新たな恐喝キャンペーンは、Instructure社と緊密に連携し、シングルサインオン(SSO)の連携設定を見直し、将来的なウェブサイトの改ざんやデータ漏洩が発生しても、教職員や保護者が不意を突かれることのないよう、明確な情報発信体制を整えておく必要性を浮き彫りにしています。
