GadgetDrop
その他

Canvas運営のInstructureがサイバー攻撃を認める——氏名・メール・学生IDなどが流出、ShinyHuntersが犯行声明

GadgetDrop 編集部5
Canvas運営のInstructureがサイバー攻撃を認める——氏名・メール・学生IDなどが流出、ShinyHuntersが犯行声明

学習管理システム「Canvas」を運営するedtechの大手Instructureが、サイバー攻撃を受けてユーザーの個人情報が流出したことを公式に認めました。ハッカー集団ShinyHuntersがダークウェブ上で犯行声明を出しており、BleepingComputerがその投稿を確認しています。ShinyHuntersは「世界中の約9,000校・2億7,500万人分のデータ」を入手したと主張しており、影響規模は甚大な可能性があります。

流出は確定——でもパスワードは無事、では何が危ない?

Instructureが公式声明で認めた流出情報は、影響を受けた機関のユーザーに関する「特定の識別情報」です。具体的には以下が含まれるとしています。

  • 氏名
  • メールアドレス
  • 学生ID番号
  • ユーザー間のコミュニケーション内容

一方で、以下については流出に含まれていないと同社は述べています。

  • パスワード
  • 生年月日
  • 政府発行の身分証明書番号
  • 金融情報

声明では「外部のフォレンジック専門家と並行して調査を続けているが、現時点ではインシデントは封じ込められたと考えている」と説明しています。対応策として、影響を受けたシステムに関連する特権認証情報とアクセストークンの失効、パッチの適用、暗号鍵のローテーション、全プラットフォームにわたる監視強化を実施したとしています。

なお、Instructureは影響を受けた人数や脅威アクターの特定については公表していません。

ShinyHuntersの主張——約9,000校・2億7,500万人・1万5,000機関に影響の可能性

BleepingComputerの報道によると、悪名高いハッカー集団ShinyHuntersがダークウェブ上のサイトにInstructureを掲載し、犯行声明を出しているとのことです。

ShinyHuntersの投稿には「世界中の約9,000校が影響を受けた。学生・教職員・その他スタッフを含む2億7,500万人分の個人情報(PII)を入手した」と記されているとBleepingComputerは伝えています。さらに「学生と教師、学生同士の間で交わされた数十億件規模のプライベートメッセージが含まれており、個人的な会話やその他のPIIが含まれる。SalesforceのインスタンスもBreachされており、さらに多くのデータが関与している」とも主張しているとのことです。

ShinyHuntersの主張によると、脅威アクターはどうやらInstructureのシステムに存在した脆弱性を通じてアクセスしたとされており、同社はその脆弱性にパッチを適用済みとされています。また、欧州・北米・アジア太平洋を含む世界各地の1万5,000機関からファイルを窃取したともShinyHuntersは主張しているとされています。

ただし、これらの数字はあくまでShinyHuntersの主張であり、Instructure自身は影響規模について公式に確認していません。

「氏名とメールだけでも十分危険」——フィッシング攻撃への警戒を

パスワードや金融情報が含まれていないとはいえ、TechRadarはこの流出を軽視すべきではないと伝えています。氏名・メールアドレス・ユーザー間のコミュニケーション内容があれば、高度に説得力のあるフィッシング攻撃や個人情報の悪用に十分利用でき、さらに破壊的な詐欺につながる可能性があると同メディアは解説しています。

特に今回の流出では、学生・教師間のプライベートなやり取りが含まれている可能性があるとShinyHuntersは主張しており、教育機関における情報管理の脆弱性が改めて浮き彫りになっています。TechRadarはまた、今回のインシデントがサードパーティ統合のリスクを示すものであり、アクセス権限のガバナンス強化が求められると伝えています。

Canvasを利用している教育機関や学生・教職員は、不審なメールや連絡に対して通常以上の警戒が必要な状況です。今後Instructureから追加の情報開示がなされる可能性があるため、公式声明を注視しながら、フィッシングメールへの注意を徹底することが現実的な対応といえます。

Q&A

Q. パスワードや金融情報は流出しましたか? Instructureの公式声明によると、パスワード・生年月日・政府発行の身分証明書番号・金融情報は今回の流出に含まれていないとのことです。ただし、氏名・メールアドレス・学生ID・ユーザー間の通信内容は流出が確認されています。

Q. 影響を受けた人数や学校数はどのくらいですか? Instructure自身は影響規模を公表していません。ハッカー集団ShinyHuntersがダークウェブ上で「世界中の約9,000校・2億7,500万人分のデータ」と主張していることをBleepingComputerが報じており、また世界各地の1万5,000機関からファイルを窃取したともShinyHuntersは主張しているとされています。いずれもあくまで攻撃者側の主張であり、Instructureによる公式確認はされていません。

Q. Canvasを使っている学生・教職員はどう対応すればよいですか? 現時点では、不審なメールや連絡に対して通常以上に注意することが重要です。氏名やメールアドレス、さらにはやり取りの内容を悪用した巧妙なフィッシング攻撃が行われる可能性があるため、見覚えのないリンクのクリックや個人情報の入力は避けてください。自分が影響を受けた機関の利用者かどうかについての詳細は、出典元を参照してください。

出典

#データ漏洩#サイバーセキュリティ#Instructure#Canvas#ShinyHunters
ポストLINEで送るはてブ
GD

GadgetDrop 編集部

スマホ・PC・AI・XRなど幅広いテクノロジーを、スペックの行間まで読む視点で解説します。速報から深掘り分析まで、テック選びと業界理解に役立つ情報をお届けしています。

関連記事
内部脅威が外部ハッカーを超えた——Orange Cyberdefenseが57%に上昇と報告その他

内部脅威が外部ハッカーを超えた——Orange Cyberdefenseが57%に上昇と報告

#サイバーセキュリティ
Oppo Enco Clip2ハンズオン——Bluetooth 6.1対応・最大40時間再生、Dynaudio共同チューニングで約180ユーロその他注目

Oppo Enco Clip2ハンズオン——Bluetooth 6.1対応・最大40時間再生、Dynaudio共同チューニングで約180ユーロ

#Oppo
Nintendo Switch 2が値上げか——米国は$449.99→$499.99、PS5発売時と同価格帯にその他注目

Nintendo Switch 2が値上げか——米国は$449.99→$499.99、PS5発売時と同価格帯に

#Nintendo Switch 2
LG 27型Ultragear QHDゲーミングモニターが$189——ほぼ過去最安値水準、通常価格$229から$40の節約その他注目

LG 27型Ultragear QHDゲーミングモニターが$189——ほぼ過去最安値水準、通常価格$229から$40の節約

#LG