**Instructure**は、ネットワーク侵害の後、分散型のサイバー犯罪恐喝グループに身代金を支払ったことを認めました。同社は、**Canvas**学習管理システムで知られており、攻撃者が数千校および大学から盗んだデータの漏洩を脅迫した後、この発表を行いました。 ### 身代金支払いの確認 月曜日に発表された声明で、ユタ州に拠点を置く同社は、「このインシデントに関与した不正アクセス者と合意に達した」と述べ、データの公開の可能性への懸念を引用しました。身代金の支払いは物議を醸す動きでしたが、漏洩を回避するために行われ、合意は影響を受けたすべての顧客を対象としています。**Instructure**は、盗難されたデータは返却され、デジタル的に破壊されたことが確認されたと主張しています。同社はまた、ハッキングの結果として顧客が個別に恐喝されることはないと通知されたと述べています。 「サイバー犯罪者と取引する際に完全な確実性はありませんが、顧客に可能な限り追加の安心感を与えるために、管理下にあるあらゆる措置を講じることが重要だと信じています」と**Instructure**は述べています。 ### 調査分析とセキュリティ改善 同社は、専門ベンダーと協力して、調査分析を支援し、サイバーセキュリティ防御を強化し、侵害されたデータの徹底的なレビューを実施しています。 ### ShinyHuntersが責任を主張 この侵害は、**ShinyHunters**恐喝グループによる攻撃に端を発しており、先月**Canvas**を標的とし、3.65TBのデータが盗まれました。このインシデントは、約9,000の組織に影響を与えました。当初、侵害は封じ込められたと考えられていましたが、5月7日、2026年に第2波の不正活動が発生し、約330の機関の**Canvas**ログインポータルが恐喝メッセージで改ざんされ、**Instructure**に5月12日、2026日までの交渉期限が設定されました。 ### 脆弱性の悪用 攻撃者は、Free-for-Teacher環境に関連する特定されていない脆弱性を悪用して、初期アクセスを得たと報告されています。これにより、ユーザー名、メールアドレス、コース名、登録情報、メッセージを含む約2億7,500万件のレコードを吸い上げることができました。**Instructure**は、コースコンテンツ、提出物、資格情報は侵害されていないことを強調しています。 ### 修正措置 侵害後、**Instructure**はFree-For-Teacherアカウントを一時的にシャットダウンしました。同社は脆弱性の具体的な性質を開示していませんが、影響を受けたシステムに対する特権資格情報とアクセストークンを失効させ、内部キーをローテーションし、トークン作成パスを制限し、追加のセキュリティ制御を実装しました。 ### フィッシングのリスク 「吸い上げられたデータは、脅威アクターにスタッフ、学生、保護者全員に対して標的型フィッシングキャンペーンを実行するための十分な個人的なコンテキストを提供します」と**Halcyon**は警告しました。 「漏洩した記録は、後続の攻撃で学校管理者、ITサポート、または財務援助オフィスを偽装するために使用される可能性があります。影響を受けた機関の学生、保護者、および担当者は考慮されるべきであり、機関は直ちにフィッシングに関する警告と直接のコミュニケーションを発行する必要があります。」