米下院国土安全保障委員会は、恐喝グループ「ShinyHunters」による2件のサイバー攻撃で同社のCanvasプラットフォームが侵害されたことを受け、Instructureに説明を求めています。この侵害により、学生データの盗難が発生し、特に期末試験期間中に学校に深刻な混乱が生じました。 ### 議会による調査開始 国土安全保障委員会の委員長であるAndrew R. Garbarinoは、InstructureのCEOであるSteve Daly宛ての書簡で、委員会が数百万人の学生に影響を与える大規模な侵害について調査していることを述べました。書簡では、事件の深刻さと教育機関への潜在的な影響が強調されています。 「国土安全保障委員会（本委員会）は、Instructure Holdings, Inc.および同社のCanvas学習管理プラットフォームに依存する数千万人の学生、教育者、管理者に影響を与える最近のサイバーセキュリティインシデントに関する懸念すべき報告を調査しています」と書簡は述べています。 委員会は、ShinyHuntersグループがわずか1週間に2回Instructureを侵害したことを強調しました。 ### 侵害の詳細 BleepingComputerが以前報じたように、Instructureは5月3日にデータ侵害が発生したことを明らかにしました。同社は、4月29日に侵入が検出され、攻撃者がCanvasを使用している学生および学校職員のシステムを侵害し、データを盗んだことを確認しました。 Instructureによると、漏洩した情報には、氏名、メールアドレス、学生ID番号、およびプラットフォーム上で学生と教師の間で交換されたメッセージが含まれていました。ただし、パスワード、財務情報、または政府発行の識別情報は含まれていませんでした。 ### ShinyHuntersの主張 5月3日、恐喝グループShinyHuntersは攻撃の責任を主張し、8,809の大学、学区、オンライン教育プラットフォームから2億8000万件のデータレコードを盗んだと述べました。攻撃者は影響を受けた教育機関のリストを共有し、各機関の盗難レコード数は数万件から数百万件に及びました。  *ShinyHuntersのデータ漏洩サイトにおけるInstructureのリスト。出典：BleepingComputer* ShinyHuntersグループはまた、米国全土の学校や大学のCanvasログインポータルを改ざんする2回目の攻撃を実行しました。これらの改ざんでは、Instructureにグループと交渉するよう要求する恐喝メッセージが表示されました。この混乱は、学期末の重要な活動中に複数の州の機関に影響を与え、一部の大学では試験が中止されました。  *テキサス大学サンアントニオ校のCanvasログインページにおけるShinyHuntersのメッセージ。出典：BleepingComputer* 後に、攻撃者が認証された管理者セッションを取得し、ログインポータルページを変更するために、複数のクロスサイトスクリプティング（XSS）脆弱性を悪用したことが明らかになりました。 ### 影響を受けた機関と対応 国土安全保障委員会の書簡によると、カリフォルニア、フロリダ、ジョージア、オクラホマ、オレゴン、ネバダ、ノースカロライナ、テネシー、ユタ、バージニア、ウィスコンシンなど、多くの州の学校がこの事件に関連する混乱を報告しました。 委員会はまた、攻撃者が当初交渉を拒否したため、Instructureを再度標的にしたと主張していると指摘しました。 ### 合意に達する ShinyHuntersがInstructureをデータ漏洩サイトから削除した後、Instructureは同グループと、公開漏洩を停止し、盗まれたデータが削除されることを保証する合意に達したことを明らかにしました。 Instructureは身代金の支払いを明示的に確認していませんが、恐喝グループが身代金の支払いなしに盗まれたデータを削除したり、漏洩を停止したりすることはまれです。 恐喝グループは、データが破棄されたこと、および学校が交渉のために連絡する必要はないと主張する声明をデータ漏洩サイトに掲載しました。 「LMS企業における最近の状況に関して、追加で申し上げることはありません。影響を受けた機関の方々は、私たちはお金を求めていません。私たちへの連絡はすべて中止してください。問題は解決しました」とShinyHuntersの更新は述べています。「当社およびその顧客は、これ以上標的にされたり、支払いを求められたりすることはありません。データは存在しません。」 ### 議会の精査 国土安全保障委員会は、度重なる侵害は、Instructureのインシデント対応能力と、保存されているデータを保護する義務について「深刻な疑問」を投げかけると述べました。 委員会は、Instructureに対し、両方の侵入、盗まれたデータ、封じ込めおよび通知の取り組み、連邦機関との連携について話し合うためのブリーフィングに5月21日までに参加するよう要請しました。