セキュリティインシデントに関する最新情報とFAQ
Canvasセキュリティ対策Instructureは、Canvas環境の一部における不正アクセスインシデントの発生を報告しました。
影響を受けたデータにはユーザー名やメールアドレスなどの情報が含まれますが、コースコンテンツや成績などの主要な学習データは侵害されていません。
この侵入は「Free for Teacher」アカウントの脆弱性を悪用したことが原因であり、一時的にサービスを停止しました。
Instructureは専門家と協力して調査を継続し、データ復旧と破壊の確認を含む対策を講じました。
現在、Canvasプラットフォームは完全に復旧し利用可能であり、利用者側で直ちに行うべき対応は必要ありません。
同社は引き続き詳細な進捗報告と対策を継続的に提供していくとしています。
教育プラットフォーム「Canvas by Instructure」が、大規模なセキュリティインシデントが発生したことを発表しました。不正アクセスにより、一部のユーザー情報が漏洩した模様です。同社は、事態の深刻さを受け、謝罪とともに、現在判明している事実と今後の対応策について詳細を説明しています。
不正アクセスで漏洩したデータの内容
今回のインシデントでは、Canvas環境の一部への不正アクセスが確認されました。漏洩したデータフィールドには、ユーザー名、メールアドレス、コース名、登録情報、メッセージなどが含まれているとのことです。ただし、コースコンテンツや提出物、認証情報といった中核的な学習データは侵害されていないことが確認されています。同社は、引き続き調査を続けているものの、影響範囲について明確化を図っています。
脆弱性対策とサービスの一時停止
今回の攻撃は、特に「Free for Teacher」環境におけるサポートチケットの脆弱性を悪用したことが判明しました。この問題を受け、同社はセキュリティレビューを完了するまで、Free for Teacher環境を一時的に停止するという判断を下しました。Canvasの安全性を最優先するため、一時的なサービス停止という難しい決断をしたと説明しています。現在、Canvasプラットフォーム自体は完全に復旧し、利用可能となっています。
加害者との合意と今後の対応
さらに、同社は不正行為を行ったアクターと合意に至ったと発表しました。この合意により、漏洩したデータは同社に返却され、データ破壊のデジタル確認も得られたとのことです。また、顧客がこのインシデントによって恐喝されることはないとの情報も得ています。今後は、フォレンジック分析の継続や、システム強化のためのウェビナー開催などを予定しています。
まとめ
Instructureは、信頼回復のためには一貫した行動と誠実なコミュニケーションが必要であると強調しています。今後も専用のアップデートページを通じて情報提供を続ける方針であり、顧客は引き続き状況を注視していく必要があります。
原文の冒頭を表示(英語・3段落のみ)
I'll start where I should: with an apology.
Over the past few days, many of you dealt with real disruption. Stress on your teams. Missed moments in the classroom. Questions you couldn't get answered. You deserved more consistent communication from us, and we didn't deliver it. I'm sorry for that.
Here's what we know.
※ 著作権に配慮し、引用は冒頭3段落までです。続きは元記事をご覧ください。
Hacker News コメント
機械翻訳。HN の元スレッド ↗
更新を見るには下にスクロールする必要があった。(https://www.instructure.com/incident_update#:~:text=STATUS...)
原文
Got to scroll down to see the update.(https://www.instructure.com/incident_update#:~:text=STATUS%2...)
身代金が支払われたようですね:> この責任を念頭に置き、Instructureは本件に関与した不正な行為者と合意に達しました。その合意の一環として:> データは私たちに返却されました。データ破壊のデジタル確認(シュレッドログ)を受け取りました。> この件の結果として、Instructureの顧客が公的または私的に恐喝されることはないとの通知を受けました。> この合意は影響を受けたすべてのInstructureの顧客を対象としており、個々の顧客が不正な行為者と接触する必要はありません。
原文
Sounds like a ransom was paid:> With that responsibility in mind, Instructure reached an agreement with the unauthorized actor involved in this incident. As part of that agreement:> The data was returned to us. We received digital confirmation of data destruction (shred logs).> We have been informed that no Instructure customers will be extorted as a result of this incident, publicly or otherwise.> This agreement covers all impacted Instructure customers, and there is no need for individual customers to attempt to engage with the unauthorized actor.
データが私たちに返された。データはコピーされたと理解していた[1]。暗号化されているか、オリジナルが削除されない限り、データが「返される」ことはないはずだ。この表現には混乱しているが、もしかしたら標準的なのかもしれない。これはMoneroにとって強気な材料だ[2]。1月の急騰もハッキングによるものかもしれない[3]。ここにShinyhuntersのウェブサイトがある。Canvasがそこにリストされていて[4]、その後削除された[5]。
[1] https://www.youtube.com/watch?v=IeTybKL1pM4
[2] https://search.brave.com/search?q=monero+price&rh_type=cc&ra...
[3] https://xcancel.com/zachxbt/status/2012212936735912351
[4] https://archive.ph/4zD7f
[5] https://archive.ph/NYWbJ
原文
>The data was returned to us.It was my understanding that the data was copied[1]. You wouldn't "return" data unless it was encrypted or the originals were deleted. I am confused on this phrasing but maybe it is standard idk.This is bullish on Monero[2]. The January pump may have been from a hack as well[3].Here is Shinyhunters website. Canvas was listed on it[4] and then removed[5].[1] https://www.youtube.com/watch?v=IeTybKL1pM4[2] https://search.brave.com/search?q=monero+price&rh_type=cc&ra...[3] https://xcancel.com/zachxbt/status/2012212936735912351[4] https://archive.ph/4zD7f[5] https://archive.ph/NYWbJ