広く利用されている学習管理システム（LMS）である**Canvas**の開発元である**Instructure**は、最近のサイバー攻撃の影響に対処しています。このインシデントでは、複数のクロスサイトスクリプティング（XSS）脆弱性が悪用され、攻撃者は認証済み管理者セッションを取得することができました。 **初期侵害と恐喝の試み** **Instructure**によると、最初の侵害は4月29日に発生しました。同社は不正アクセスを検出し、直ちにアクセスを無効化し、調査を開始し、外部のフォレンジック専門家を招集しました。 数日後、盗まれたデータは**ShinyHunters**のデータ漏洩サイトに公開されました。脅威アクターは、3.6テラバイト以上の非圧縮データを盗んだと主張しています。 **Canvasの改ざんと恐喝メッセージ** 5月7日、**ShinyHunters**は同じ脆弱性を悪用して**Instructure**のシステムに再度侵入し、悪意のあるJavaScriptを注入しました。これは、ユーザー生成コンテンツ機能内のXSSバグを悪用したものです。これにより、認証済み管理者セッションへのアクセスが可能になり、特権的な操作を実行できるようになりました。 その後、攻撃者は**Canvas**のログインポータルを改ざんし、**Instructure**とプラットフォームを使用している学校に対し、身代金の交渉のために5月12日までに連絡するよう警告するメッセージを残しました。 **Free-for-Teacherアカウントへの影響** **Instructure**は、悪用されたセキュリティ問題が、個々の教育者向けの**Canvas** LMSの無料版であるFree-for-Teacher環境に影響を与えたことを確認しました。 **Instructure**はインシデントアップデートで、「不正アクセス者は、一部の学生や教師が**Canvas**を通じてログインした際に表示されるページを変更しました」と述べています。 **Instructure**は、悪意のある活動を防ぎ、原因を特定し、追加の保護策を実装するために、一時的に**Canvas**をオフラインにしました。プラットフォームは5月9日に復旧しましたが、問題が解決するまでFree-For-Teacherアカウントはオフラインのままです。  **リスクにさらされたデータ** **Canvas**ログインポータルの改ざんは直接的なデータ侵害にはつながりませんでしたが、最初の侵害中に不正に持ち出されたデータには、ユーザー名、メールアドレス、コース名、登録情報、メッセージなどが含まれている可能性が高いです。 **侵害の規模** **ShinyHunters**は、この侵害が8,809の教育機関に影響を与え、学生、教師、その他の職員の2億7,500万件のレコードを盗んだと主張しています。  ## [Mythosが発見したものの99%はまだパッチが適用されていません。](https://hubs.li/Q04crVgD0) AIは4つのゼロデイを1つのexploitに連鎖させ、レンダラーとOSのサンドボックスの両方をバイパスしました。新しいexploitの波が押し寄せます。 Autonomous Validation Summit（5月12日および14日）で、自律的でコンテキストリッチな検証が、悪用可能なものをどのように見つけ、コントロールが機能していることを証明し、修正ループを閉じるかをご覧ください。 [参加登録はこちら](https://hubs.li/Q04crVgD0)