インストラクチャー、キャンバスハッカーに身代金を支払う

#Tech

インストラクチャー、キャンバスハッカーに身代金を支払う Canvas大規模データ侵害

学習管理システム(LMS)であるCanvasを複数回ハッキングしたサイバー犯罪集団ShinyHuntersに対し、Instructureは身代金を支払いました。

この攻撃により、北米の8,800以上の教育機関に所属する約2億7,500万人のユーザー情報が侵害されたと報告されています。

身代金の支払いにより、Instructureはデータ破壊の確認と、追加の恐喝がないという保証を得ました。

同社は今回の対応においてコミュニケーションのバランスが欠けていたと反省し、今後の環境強化と透明性の向上を約束しています。

教育機関向けLMS(学習管理システム)を提供するInstructure社が、サイバー犯罪グループ「ShinyHunters」による大規模なデータ侵害を受け、身代金を支払ったことが明らかになりました。Canvasという同社の主要サービスが立て続けに攻撃され、約2億7500万人のユーザー情報が流出する危機に瀕しています。

Canvasへの二度の攻撃とデータ流出の危機

Instructure社のCanvasは、北米の高等教育機関の41%が利用する重要な教育インフラです。しかし、同社のシステムは先週半ばに「ShinyHunters」というサイバー犯罪グループによって二度も侵入されました。このグループは、学生の名前、メールアドレス、学生ID番号といった個人情報に加え、学生や教員間の数億件に及ぶプライベートなメッセージデータも盗み出していました。

この攻撃により、8,800以上の教育機関にまたがる約2億7500万人のユーザーデータが侵害された状態でした。

身代金支払いとデータ破壊の確認

Instructure社は、身代金支払いという厳しい決断を下しました。同社は、ハッカー側から「データ破壊(shred logs)」のデジタル確認を受け取り、顧客がこの事件によって公的・私的に恐喝されることはないという保証を得たとのことです。これにより、影響を受けたすべての顧客が保護されることになりました。

Instructure社は、この件に関して専門ベンダーと協力し、フォレンジック分析や環境の強化を継続すると説明しています。ただし、支払った金額については公表されていません。

対応の遅れと経営層の反省

最初の攻撃後、Canvasは一時的に復旧しましたが、その後もハッカーは再侵入を試みました。Instructure社は当初、セキュリティ対策に注力し、公的な情報開示を控える姿勢を見せていました。しかし、この対応が批判を招いたようです。

同社のCEOであるSteve Daly氏は、二度目の攻撃を受けて、事実確認に時間をかけすぎた結果、顧客が必要とする一貫した情報提供ができなかったと反省を表明しています。今後は情報開示のバランスを取っていくとしています。

まとめ

今回の事件は、教育分野におけるデジタルインフラの脆弱性を改めて浮き彫りにしました。大規模なデータ侵害が発生した際、企業がどのように危機管理と透明性を両立させるかが、今後の大きな課題となるでしょう。

原文の冒頭を表示(英語・3段落のみ)

Instructure has paid a ransom to a gang of cybercriminals that have twice hacked the company’s learning management system, Canvas, over the past week and a half.

According to an update published by the education-technology company Monday night, the deal means that the hackers have returned the compromised data of some 275 million users across more than 8,800 institutions.

The company—whose LMS is used to deliver courses by 41 percent of higher education institutions in North America—said it “received digital confirmation of data destruction (shred logs)” and assurance “that no Instructure customers will be extorted as a result of this incident, publicly or otherwise.” It added that the agreement “covers all impacted Instructure customers” and that individual customers have “no need” to engage with ShinyHunters, the extortionist group that has breached and temporarily disabled Canvas twice so far this month.

※ 著作権に配慮し、引用は冒頭3段落までです。続きは元記事をご覧ください。

元記事を読む ↗