人気の**Canvas**ラーニングマネジメントシステム（LMS）を提供する企業である**Instructure**は、重大なサイバーセキュリティインシデントに直面しています。最近の侵害により、多数の教育機関の数百万人の学生と職員のデータが漏洩した可能性があります。 ### 侵害の詳細 先週金曜日、**Instructure**はサイバー攻撃の調査中であることを公表し、後にデータ侵害であったことを確認しました。ユーザー名、メールアドレス、およびプライベートメッセージが漏洩した可能性があります。 **ShinyHunters**という恐喝集団がこの攻撃の責任を主張しており、学生、教師、職員に属する2億8000万件のレコードを不正に取得したと主張しています。このデータは、**Canvas**を利用している8,809の大学、学区、およびオンライン教育プラットフォームに由来するとされています。  *ShinyHuntersのデータ漏洩サイトに掲載されたInstructure* **ShinyHunters**は、影響を受けた可能性のある教育機関のリストと、各機関のレコード数を公表しています。これらの数は、機関ごとに数万件から数百万件に及びます。BleepingComputerは、独立した検証が不足しているため、影響を受けた機関のリストを公表しないことを選択しました。 脅威アクターは、**Canvas**のデータエクスポート機能（DAPクエリ、プロビジョニングレポート、ユーザーAPIなど）を利用して、数百ギガバイトのユーザーレコード、メッセージ、および登録データを収集したと主張しています。 ### 機関の対応 **Instructure**はまだコメントの要請に応じませんが、一部の大学は潜在的な影響に関する声明を発表し始めています。 * **コロラド大学ボルダー校**は、**Canvas**を使用する複数の機関に影響を与える全国的なデータ侵害について警告しました。 * **ラトガース大学**は、キャンパスへの直接的な影響については通知を受けておらず、**Canvas**は引き続き稼働していると述べました。 * **ティルブルク大学**は、事件を調査しており、学生と職員への影響の範囲を特定しようとしています。 BleepingComputerは、**Instructure**にさらなる情報を求めており、より詳細が入手可能になり次第、この記事を更新します。 ## Mythosが発見したものの99%はまだパッチが適用されていません。 AIは4つのzero-dayを1つのexploitに連鎖させ、レンダラーとOSのサンドボックスの両方をバイパスしました。新たなexploitの波が押し寄せます。 Autonomous Validation Summit（5月12日および14日）で、自律的でコンテキストリッチな検証が、悪用可能なものをどのように見つけ、コントロールが機能していることを証明し、修正ループを閉じるかをご覧ください。 参加登録はこちら