学習管理システム Canvas を提供する米 Instructure に対し、犯罪集団 ShinyHunters が再侵入したと主張し、5 月 7 日に複数大学のログインページが改ざんされました。初報は 5 月 1 日 (Instructure による侵害公表) で、その時点では氏名・メールアドレス・学生 ID 等の流出が示唆されていましたが、今回は恐喝段階に移行し、Pennsylvania 大学を含む大学では Canvas が一時的にアクセス不能となりました。
主なポイント
- ShinyHunters は 8,809 の学校・大学・教育プラットフォーム名を BleepingComputer に提示し、合計 275M 件の利用者データを保有すると主張。
- 北米では学期末・期末試験期と重なるタイミングで Canvas のサービス停止が広範に発生し、講義資料・課題提出に支障が生じた。
- グループは 5 月 12 日を支払期限とし、応じない場合「数十億件のメッセージを含む」生データを公開すると通告。各校に対し個別交渉を要求している。
- Instructure はパスワード・生年月日・政府発行 ID・金融情報は流出に含まれないと従前説明していたが、今回の改ざんで侵害範囲の再評価を迫られている。
- 同グループは Salesforce / Snowflake 連鎖侵害でも知られ、犯罪エコシステムが教育・SaaS インフラに集中する傾向を改めて示した。
出典: Hackers deface school login pages after claiming another Instructure hack (TechCrunch)