高等教育機関は長らく、ランサムウェアギャングやデータ恐喝攻撃の標的となってきました。しかし、単一のソフトウェアプラットフォームに対するサイバー攻撃が、米国全土の数千もの学校の日々の運営をこれほどまでに徹底的に混乱させた例は稀です。 広く利用されているデジタル学習プラットフォーム「Canvas」は、その開発元である教育テクノロジー大手「Instructure」がデータ侵害を受け、攻撃者グループ「ShinyHunters」から恐喝未遂を受けた後、木曜日に「メンテナンスモード」に置かれました。ハッカーたちは5月1日以降、この侵害を宣伝し、「Instructure」から身代金を奪おうとしていましたが、木曜日には米国内の一般市民にとって、事態はさらに切迫したものとなりました。なぜなら、「Canvas」のダウンタイムが、期末試験や学年末の課題の真っ只中にあった学校を含む、各地で混乱を引き起こしたからです。 ### 教育機関への影響 ハーバード大学、コロンビア大学、ラトガース大学、ジョージタウン大学などの大学は、最近になって学生に状況に関するアラートを送信しました。また、少なくとも12州の学区を含む他の教育機関も影響を受けたようです。攻撃の背後にいるハッカーたちが、恐喝目的のダークウェブサイトに掲載したリストによると、侵害は8,800校以上に影響を与えたと主張しています。ただし、侵害の正確な規模と範囲は不明です。「Canvas」が木曜日の午後から夜にかけてダウンしていたことも、状況をさらに複雑にしました。 5月1日に開始されたインシデント更新ログの中で、「Instructure」の最高情報セキュリティ責任者であるスティーブ・プラウド氏は、同社が「最近、犯罪的な脅威アクターによるサイバーセキュリティインシデントを経験した」と述べています。彼は5月2日に、「影響を受けた機関のユーザー」に関する「関与した情報」には、氏名、メールアドレス、学生ID番号、およびプラットフォーム上でユーザー間で交換されたメッセージが含まれると付け加えました。 状況は最終的に水曜日に「解決済み」とマークされ、プラウド氏は「Canvasは完全に稼働しており、現在、不正なアクティビティは確認されていません」と書いています。しかし、木曜日のお昼頃、「Instructure」のステータスページでは、「一部のユーザーがStudent ePortfoliosへのログインに困難を抱えている」という「問題」が記録されました。数時間後、同社は別のステータス更新を追加しました。「InstructureはCanvas、Canvas Beta、Canvas Testをメンテナンスモードにしました。」木曜日の夜遅く、同社は「Canvas」が「ほとんどのユーザーで」再び利用可能になったと発表しました。 ### 改ざん（Defacement）と恐喝戦術 TechCrunchの木曜日の報道によると、ハッカーたちは二次的な攻撃波を開始し、一部の学校の「Canvas」ポータルを改ざんし、HTMLファイルを挿入して学校の「Canvas」ログインページに独自のメッセージを表示しました。The Harvard Crimsonによると、攻撃者はハーバード大学の「Canvas」ログインページを変更し、ハッカーが侵害の影響を受けたと主張する学校のリストを含むメッセージを表示しました。 「Crimson」紙は、攻撃者からのメッセージは、「影響を受けたリストに含まれる学校に対し、年金基金の支払い前にサイバーアドバイザリー企業と相談し、グループに直接連絡して和解交渉を行うよう促すものでした。ハーバード大学の関係者に関連するどのような情報が、 alleged breach に含まれていたかは不明です。」 「Instructure」は、木曜日のアウトエージと、それが侵害の全体像にどのように適合するかについてのコメント要請にすぐには応じませんでした。しかし、大量の学生情報が潜在的に漏洩した可能性があり、全国的なインシデントの可視性を考えると、データ恐喝とランサムウェア攻撃という長年の、しかし絶え間なくエスカレートする問題の重要な例となっています。 ### ShinyHuntersとの関連 「ShinyHunters」という名前は、大規模なデータダンプと関連付けられており、悪名高いハッカー集団「Com」と結び付けられています。しかし、長年にわたってアクターの構成が変化するにつれて、多くの攻撃者が最も著名な「Com」関連のニックネームを採用してきました。最近の攻撃の多くは、「Lapsus$」のような他の名前を呼び起こしていますが、元のグループとはほとんど、あるいは全く関連がありません。 「Canvas」の場合も、「ShinyHunters」という名前の背後に誰が活動しているかは同様に不明です。サイバーセキュリティ企業Unit 221bの最高研究責任者で、「ShinyHunters」や他のランサムウェアグループを密切に追跡しているアリソン・ニクソン氏は、この活動は、ScatteredLapsus$Huntersと呼ばれることもあるハッカーグループの最近の活動に関連しているようです。 木曜日の早い段階で、「ShinyHunters」という名前でターゲットを脅迫し、恐喝するために使用されていたダークウェブサイトには、「Instructure」とそのソフトウェアを使用する学校が被害者としてリストアップされていました。また、ハッカーたちは「Instructure」が交渉の要求に応じなかったことを不満に思うメモも掲載していました。「Instructureは、状況を理解するために私たちと話すことさえせず、このデータの公開を防ぐための交渉さえ行っていません」と声明は述べています。「同社は、このデータ侵害によって影響を受けたすべての学生や、影響を受けた機関を全く気にかけていないようです。」 しかし、木曜日の夜までに、これらの「Instructure」とその顧客への言及はサイトから削除され、その後サイトは応答しなくなりました。ニクソン氏によると、ランサムウェアギャングは身代金の支払いに同意したことに応答して被害者をダークウェブサイトから削除することがありますが、ハッカーが交渉戦術として被害者を削除することも可能です。 「これは、被害者に支払いを促すための、彼らの操作戦術の一つです。交渉中、または支払いが完了した後、彼らはその被害者をサイトから削除するかもしれませんが、交渉の進捗によっては、被害者をサイトに戻すこともあります」とニクソン氏は述べています。 彼女は、これらの交渉の最中に、「Com」関連のハッカーグループが、分散型サービス拒否攻撃（DDoS攻撃）、会社への電話やメールの洪水、さらには幹部の家族への脅迫など、被害者の支払いインセンティブを最大化するために、より過激な強制戦術にエスカレートすることで知られていると付け加えています。「このような圧力戦術は、熟練したハッカーの仕事というよりは、暴力的なマフィアのように見え始めています」とニクソン氏は述べています。 ハッカーたちは実際に、ダークウェブサイトに、過去に「ShinyHunters」のターゲットとして報告された多数の他の被害者をリストアップしています。これには、Amtrak、Harvard、University of Pennsylvania、Rockstar Games、Match、Hinge、Bumbleなどが含まれますが、WIREDはこれらの組織が実際にこの特定の「Com」サブグループによって侵害されたかどうかを確認できませんでした。ニクソン氏は、過去に「Canvas」攻撃の背後にいるハッカーたちが、侵害の主張を誇張するために古いデータや再利用されたデータを使用していると警告しています。 しかし、この最新の攻撃と、それが全国の学校に引き起こした混乱は、現実のものであり、この特定のリスクギャングからの重大なエスカレーションを表しています。「少数の常習犯が何年もエスカレートしてこの時点に達するのは注目に値します」とニクソン氏は述べています。「これは、サイバー犯罪の体系的な国際問題と、世界中の政府が地政学を脇に置いて、金銭を恐喝し、子供たちを餌食にする者たちを止めるために協力する必要があることを示しています。」