概要
サイバー犯罪グループ「ShinyHunters」が、米国の学校・大学で広く使用されている学習管理システム(LMS)「Canvas」(開発元:Instructure)を標的にした大規模な侵害・恐喝キャンペーンを実施した。攻撃者はInstructureのシステムの脆弱性を突き、約330の教育機関のCanvasログインポータルを改ざん。「影響を受けた学校がデータの公開を阻止したい場合は、サイバーアドバイザリー企業に相談した上で、私たちに非公開で連絡してほしい」という警告メッセージを約30分間表示させた。改ざんはWebインターフェースだけでなく、Canvasモバイルアプリにも及んだ。身代金支払いの期限は2026年5月12日と設定されており、期限内に交渉がなければ盗んだデータを公開すると脅している。
流出したデータと被害規模
ShinyHuntersは今回の改ざん前から、8,809校・大学・教育プラットフォームから合計2億8,000万件にのぼる学生・職員レコードをすでに窃取したと主張しており、その規模の大きさが際立つ。流出したとされるデータには、ユーザーレコード、プライベートメッセージ、履修情報、Canvasのデータエクスポート機能やAPIを通じてアクセスされた各種情報が含まれるとされている。ユーザーレコードや履修情報など、学生・職員に関する個人情報が大量に流出しているとみられ、フィッシング詐欺などへの二次被害が懸念されている。
ShinyHuntersの手口と背景
ShinyHuntersは2018年から活動するサイバー犯罪グループで、SaaS環境、とりわけSalesforceを標的にすることで知られる。これまでにGoogle、Cisco、PornHub、Match Groupなどを被害企業として名乗りを上げており、過去には大規模なデータ侵害を繰り返してきた実績がある。攻撃手法としては、SSOプラットフォームを狙ったボイスフィッシング(ビッシング)やデバイスコードビッシングを用いて認証トークンを詐取し、接続された企業サービスを乗っ取る手口が特徴的だ。
対応状況
Instructureは攻撃を受けてCanvasをオフラインにし、対応にあたっている。BleepingComputerがInstructureに対してコメントや通知の取り組みについて問い合わせたが、記事執筆時点では返答がなかったとされる。影響を受けた教育機関や学生・教職員は、フィッシング被害への警戒を高めるとともに、パスワードの変更や不審な連絡への注意が求められる。