インストラクター社がキャンバスへのハッカーから身代金を支払う決定を下した。

Instructure が、過去 1 週半の間に学習管理システム Canvas を 2 度侵入したサイバー犯罪グループに対して身代金を支払ったことが明らかになった。同教育テック企業が月曜日深夜に発表した声明によると、この取引により、ハッカーは 8,800 以上の機関にまたがる約 2.75 億ユーザーの侵害されたデータを返還したという。

同社は、北米の高等教育機関のうち 41 パーセントがカリキュラムを配信するために利用している Canvas という LMS を提供しており、「本件の件でデータ破棄（シャredder ログを含む）に関するデジタル上の確認を受け、今後この事件を起因として Instructure の顧客がいかなる形で身代金請求の対象となることもないことを保証する旨」を確認したと発表しました。さらに同社は、合意内容を「関係するすべての Instructure 顧客に適用される」とし、個々の顧客が ShinyHunters という伸長犯団体の対応を行う必要はないとした上で、「現時点で Canvas を侵害して一時的に機能を停止させたのは今回限りです」と付け加えました。

最も人気のある記事 ・USDA がアイオワ大学に生物学実験室の封鎖を指令
・人文科学部の教授が「学部の将来については懐念的な見方を示す」
・計算ミスにより、サウスカロライナ州は国家奨学金資金の 2,500 万ドルを不足

「サイバー犯罪者と deal を交える際には決して完全な確実性は得られないものの、可能な範囲で顧客に追加の安心感を提供するため、私たちがコントロールできるあらゆる措置をとることが重要だと考えます」と同社は声明内で述べています。「引き続き専門的なベンダーと協力してフォレンジック分析を支援し、環境の堅牢化を進め、関連するデータを包括的に検証しており、その作業の進展に伴い新たな更新情報を提供していきます」

同社は身代金の額については明らかにしなかったものの、ShinyHunters が設定した 5 月 12 日の期限から 1 日 before に合意が成立しています。このグループは最近のペンシルベニア大学、プリンストン大学、ハーバード大学のデータ漏洩事件にも関与していることが知られています。

ShinyHunters が Canvas を侵入させたことで大規模なサービス妨害が発生しました。同グループは Instructure に「全ユーザーデータ（氏名、メールアドレス、学生 ID 番号などを含む）が漏洩するのを防ぎたい場合は即座に支払うべし」と警告を発しました。

「学生と教員の間のプライバシーに保護された通信、または生徒同士のやり取りが含まれる個別の会話やその他の個人を特定できる情報が何十億件もある」と、Ransomware.live というサイトが 5 月 3 日に掲載した ShinyHunters の身代金要求文書にはこう記述されていました。このウェブサイトはランサムウェアグループの被害者とその活動を追跡・監視するものです。ハッカーたちは Instructure に「2026 年 5 月 6 日までに联系我们しなければ、データを漏洩するとともに、いくつかの不快感を伴うデジタル上の問題を引き起こすでしょう」と通告し、「正しい判断を下して『次号の頭版』に載るのを避けなさい」と警告しました。

Instructure は当初はこれらの要求を無視したように見えましたものの、セキュリティ問題を解消し、火曜日の 5 月 5 日には Canvas が完全に運用可能になっていました。

しかし、それだけでハッカーたちの活動が止まったわけではなく、その週の途中でさらに大きな注目を集めました。木曜日には、期末試験の準備や学期末課題の提出に追われていたキャンバス利用者らが再度アカウントへのアクセスができなくなりました。代わりに表示されたのはハッカーたちからのメッセージのみでした。

「ShinyHunters が Instructure を再び突破しました。解決のために連絡してきたところを無視し、『セキュリティパッチ』を行ったようです」とそのメッセージにはありました。「影響を受けた機関リストに載っている学校がデータの漏洩を防ぎたい場合は、サイバーアドバイザリーfirma とも相談の上、私たちに TOX というメールアドレスを通じて非公開で合意交渉を行ってください」としています。彼らは機関および Instructure に 5 月 12 日の期限を提示しました。

ShinyHunters によれば、Instructure は当初の身代金要求を無視したとしています。

「Instructure は状況を理解するための対話さえもせず、データの漏洩を防ぐための交渉にも全く関与しようとしませんでした」と、RansomLook というサイバー犯罪活動を追跡するウェブサイトに掲載された、このハッキンググループの別の身代金文書にはこう書かれています。「企業側は今回のデータブリーチで影響を受けた学生や機関についてまるで気にしていないようです」

編集者のおすすめ
・キャンバスハック後に大学が期末試験を延期
・「支払えか漏洩せよ」：ハッカーが高等教育の大手ベンダーを狙う
・教授が解雇から学問的自由を求める全国的な闘争へと変貌させた物語

これに対し多くの大学は、Canvas の問題を解決するのを待って期末試験や最終プロジェクトの期限を延期しました。週末には、Instructure の CEO スティーブ・デリー氏は、二度目となるハッキング事件に対処する方法を変えると表明しました。

「先週、公に発言する前に事実に基づいて判断すべきだったと判断しましたが、その直感は間違っていたわけではありませんが、バランスを取り間違えました。事実確認に集中し、皆様から不連続な更新を提供された必要時に沈黙を選んでしまいました」と、同社のウェブサイトに掲載した更新声明で述べています。「この点は明確にお伝えし、妥当なご指摘です。今後私たちはこれを改善していきます」

明らかに Instructure はハッカーたちとのコミュニケーションを開いたようです。月曜日の午後には、「すべての Canvas 環境が利用可能になった」と同社ウェブサイト上で報告しました。

身代金支払いのリスク

Instructure の当面の問題を解決したとしても、身代金を支払うことは通常のサイバーセキュリティのプロトコルに反し、National Cybersecurity Alliance の情報セキュリティおよび連携部門主管である Cliff Steinhauer 氏によれば、「攻撃者が成功したブリーチに対して報奨されるという危険なフィードバックループを生み出す可能性がある」と述べています。

「組織側が『直ちに危機を解決』できると考えている場合でも、サイバー伸張の経済的インセンティブ構造を強化し、重大サービスや高等教育プラットフォームなどを標的とした攻撃が収益性を有することを脅威アクターに示すことになります」と、Steinhauer 氏は Inside Higher Ed に電子メールで寄せた声明で述べました。「また、支払いを有効なインシデント対応戦略として正常化させるリスクもあり、これは法執行機関が一貫して警告していることであり、業界全体におけるさらなる攻撃を助長します」と付け加えました。

Steinhauer 氏はさらに、Instructure と ShinyHunters の合意が信頼性と確実性に関する疑問も提起すると指摘しました。

「犯罪者が盗んだデータを削除したか、破棄の『証拠』を提供しても、それらの主張を検証する方法は確立されておらず、過去の事例からデータの保存、転売、または将来の伸張要求で使用されるケースが頻繁に確認されています」と述べています。「リスクの観点からは、組織が見た目上の短期的な妨害を、月単位あるいは年単位後に再発する可能性のある長期的な暴露問題と交換している可能性があるのです。それを防ぐための追加的なレバレッジも持てないことが多いです」と付け加えました。

（この記事は 5 月 12 日に Cliff Steinhauer 氏からの新たなコメントを加えて更新されました。）