- 2026/05/11 掲載
教育プラットフォーム「Canvas」で大規模データ侵害、ハッカー集団が身代金を要求
教育ソフトウェアプラットフォームを手掛ける米インストラクチャーが運営する学習管理システム「Canvas」がサイバー攻撃を受け、世界規模のデータ侵害が発生した。サイバー犯罪グループ「シャイニーハンターズ」が最大2億7500万人分のデータを窃取したとして犯行声明を出している。同グループは身代金の支払期限を5月12日に設定しており、期末試験の時期と重なったことで多くの教育機関に影響が広がっている。
(画像:ビジネス+IT)
サイバー犯罪グループは約9000の教育機関に関連するおよそ2億7500万人分のデータ、約3.65TBを窃取したとされる
(図版:ビジネス+IT)
期限超過によるデータ公開の脅迫が続く中、5月7日には同グループによってCanvasのログイン画面が改ざんされ、身代金を要求する脅迫メッセージが表示される事態へと発展した。インストラクチャー側の発表および複数機関の調査によると、流出が確認されたデータには、ユーザーの氏名、電子メールアドレス、学生ID番号のほか、ユーザー間でやり取りされたプライベートメッセージが含まれる。一方で、パスワード、生年月日、政府発行の識別番号、財務情報への不正アクセスの証拠は見つかっていない。
シャイニーハンターズ側の主張では、約9000の教育機関に関連するおよそ2億7500万人分のデータ、容量にして約3.65TBを窃取したとされる。この攻撃により、北米を中心とする大学や学区では、期末試験が集中する時期にシステムが利用できなくなり、オンライン授業の運用や課題提出に重大な支障が生じた。インストラクチャーは事態の収拾のため特権認証の無効化やセキュリティパッチの適用などの初動対応を講じ、外部の専門機関や法執行機関と連携して調査を進めている。
また、同社は不正アクセスに関連して「Free-for-Teacher」アカウントを一時的に遮断する措置をとった。「Free-for-Teacher」は教師個人が教育機関を通さずに無料でCanvasを利用できるプログラム。アカウント作成時の本人確認の緩さなど、脆弱性があったとされる。窃取された情報に具体的な授業内容や個人的なメッセージが含まれていることから、実在の講義や会話を装った巧妙なフィッシング詐欺やソーシャルエンジニアリング攻撃に悪用される危険性がある。
Googleで見つけやすく
共有する
-
0
-
0
-
0
-
0
-
0
標的型攻撃・ランサムウェア対策のおすすめコンテンツ
関連タグ
タグをフォローすると最新情報が表示されます
標的型攻撃・ランサムウェア対策の関連コンテンツ
あなたの投稿
PR
PR
PR
