Canvasハッカーと和解、盗まれた2億7500万人分のデータ削除を確認
身代金支払いは非公表——オランダの大学も利用する教育プラットフォームが揺れた一週間
教育プラットフォームCanvasの親会社Instructureは、ハッカー集団ShinyHuntersとの合意に達し、先週盗まれた個人データが削除されたことを確認したと発表した。「データは私たちに返還され、破棄の確認を示すデジタル証明を受け取った。顧客への恐喝は行われないと告げられた」と同社は声明で述べている。ただし、ハッカー側が要求していた身代金を実際に支払ったかどうかについては、一切明らかにしていない。
世界9,000校に及ぶ大規模流出
Canvasは学校・大学において、課題の提出や成績・授業資料の閲覧など、教師と学生をつなぐ教育管理システムとして広く使われている。今回の侵害では、世界約9,000の教育機関に関わる学生・教職員ら2億7,500万人分の個人情報——学生番号、氏名、メールアドレス、メッセージ内容など——が外部に持ち出された。オランダ国内でも複数の大学・専門学校がCanvasを採用しており、全機関が被害を受けたかどうかは当初不明なままだった。
ShinyHuntersはこの攻撃を正式に犯行声明として公表。セキュリティパッチが適用されたにもかかわらず、最初の侵入から数日後に再びシステムへの侵入に成功し、「Instructureは我々を無視してセキュリティ修正を施した」とのメッセージをプラットフォーム上に掲示した。さらに5月12日を交渉期限と設定し、それまでに連絡がなければ盗んだデータを公開すると脅迫していた。
前例と異なる結末——Odido事件との比較
ShinyHuntersは、オランダの通信大手Odidoへの大規模サイバー攻撃でも名を知られる犯罪グループだ。Odidoのケースでは620万アカウント分のデータが盗まれ、同社が身代金の支払いを拒否したため、ハッカー側は全顧客データをオンライン上で公開した。今回のInstructureは当初、支払いには応じない姿勢を示していたが、最終的に何らかの合意に至った模様だ。同社は「サイバー犯罪との戦いに完全な保証はないが、顧客に可能な限り安心を届けるため、あらゆる手段を講じることが重要だと判断した」としている。
オランダの学生・職員への影響
オランダ国内でCanvasを利用する大学・専門学校は複数あり、各校はすでに在学生や職員に対しフィッシング詐欺への注意を促す警告を発していた。今回の合意によってデータが本当に削除されたとしても、流出期間中に情報が第三者に渡っていた可能性はゼロではない。身に覚えのないメールや不審なリンクには引き続き警戒が必要だ。また、Instructureは今回の合意を受け、傘下の教育機関が個別にShinyHuntersと交渉する必要はないと明言している。データの管理とサイバーセキュリティへの信頼が問われた今回の一件は、教育分野におけるクラウドサービス依存のリスクを改めて浮き彫りにした。
広告掲載にご興味のある方は こちら
情報源: NOS Algemeen



/https://content.production.cdn.art19.com/images/c8/0d/d3/2a/c80dd32a-cdd0-4ac0-926c-6cf20d3f5a14/92419bbca54f79b205275f8406c01019e3992c550445433b216528be175d641cb71d24185c0a7433adae777e927c30531d58cb1af6f0ac1d444ab517564dba48.jpeg)
