## Instructure、データ侵害を認める **Instructure**は金曜日の夜にサイバーセキュリティインシデントを最初に報告し、直ちに調査を開始しました。土曜日には、最高情報セキュリティ責任者（CISO）のスティーブ・プラウド氏が、攻撃者が氏名、メールアドレス、学生ID番号、ユーザーメッセージを含むユーザー情報に不正アクセスしたことを確認しました。 プラウド氏は、サイバーセキュリティ専門家の支援によりインシデントは封じ込められたと述べています。封じ込め措置には、特権資格情報とアクセストークンの失効、およびセキュリティパッチの展開が含まれていました。しかし、これらの措置の一部は、顧客のサービスを一時的に中断させました。 特筆すべきは、**Instructure**が、この攻撃中に財務情報、パスワード、または政府発行の書類は侵害されなかったと主張している点です。 ## ShinyHuntersが犯行声明 **ShinyHunters**グループは日曜日に攻撃の責任を主張し、9,000以上の学校から3.6TBのデータを盗んだと主張しています。**Instructure**は、これらの主張の有効性についてまだコメントしていません。 これは**Instructure**が**ShinyHunters**に標的にされたのは初めてではありません。同社は以前、データストレージプラットフォームを標的とした広範なキャンペーンの一環として、9月に攻撃を受けていました。 ## 攻撃のパターン **ShinyHunters**グループはますます活動的になっており、最近では**ADT**、**McGraw Hill**、**Rockstar**など、いくつかの著名な組織を標的とした攻撃を行っています。また、以前には**ハーバード大学**や**ペンシルベニア大学**などの教育機関も標的にしています。 ## 教育データの脅威増大 このインシデントは、サードパーティ企業が保持する教育データに対する脅威が増大していることを浮き彫りにしています。2025年1月には、**PowerSchool**が大規模な侵害を受け、数百万人の学生と教師の機密データが漏洩しました。特別支援教育の状況やメンタルヘルスの詳細などの機密情報を含むこの侵害は、不十分なサイバーセキュリティ慣行を主張する複数の訴訟につながっています。