知名教育プラットフォーム Canvas の親会社 Instructure は最近、ネットワークのセキュリティ脆弱性に見舞われたことを確認し、大量の利用者の個人情報が流出したと報じられている。現在、ハッカー組織 ShinyHunters は、世界のおよそ 9,000 校で最大 2.75 億人分の個人データを入手したと主張し、それを材料に同社へ身代金を要求している。Instructure は外部のサイバーセキュリティ専門家や捜査当局と連携して調査を進めていると説明しており、一部の利用者の氏名、電子メール、学生証番号が明らかになったものの、現在はパスワードや財務情報が影響を受けた証拠はないとしている。
Canvas の親会社 Instructure が被害を確認、教育界でのサイバーセキュリティ危機が浮上
CNN の報道によると、世界的に有名なデジタル学習管理システム(LMS)Canvas の親会社 Instructure は先週金曜日に、同社のシステムがサイバー攻撃を受けたことを確認した。初期調査によれば、流出した情報には影響を受けた機関の利用者の氏名、電子メールアドレス、学生証番号、そして利用者間のコミュニケーションメッセージが含まれている。Canvas が米国の各レベルの学校で、授業の管理、課題の提出、成績評価に広く利用されているため、今回の出来事は学生と教職員の個人情報の安全に対する懸念を呼び起こしている。
ハッカーが最後通牒! 2.75 億件の個人情報が流出の恐れ
有名なハッカー組織 ShinyHunters は、今回の攻撃を自分たちが行ったと主張し、Instructure をそのダークウェブの流出リストに入れたとした。同組織は、世界の 8,809 校で、合計 2.75 億人分の個人の機微情報(PII)を把握していると述べており、影響を受ける対象には生徒、教員、校務担当者が含まれる。さらに、流出データには数十億件の個人メッセージと Salesforce システムのデータが含まれるとも指摘している。ShinyHunters が設定した最後通牒の期限は 2026 年 5 月 6 日で、身代金を支払わなければすべてのデータを公開すると脅している。期限が過ぎたことで、その後のデータの行き先に関心が集まっている。
Instructure が緊急にセキュリティ対策を起動し、資格情報を取り消して監視を強化
異常な活動を検知した後、Instructure は直ちに対策を講じてサイバーセキュリティの脆弱性の封じ込めを行った。同社によると、特権の資格情報とアクセス・トークン(Access Tokens)を無効化し、最新のセキュリティ修正プログラムを展開したほか、一部の鍵を予防的に交換したという。現在の調査では、その脆弱性は制御されていることが示されているものの、同社は二次攻撃を防ぐためにプラットフォーム横断のシステム監視を強化している。Instructure は、現時点でユーザーのパスワード、生年月日、政府発行の身分証明書、または財務データが窃取されたという証拠は見つかっていないと強調している。
世界の教育テックに対するセキュリティ警告、Canvas の個人情報流出の範囲が拡大し続ける
Instructure は引き続き影響を受けた教育機関と連絡を取り合い、新たな調査結果が出た場合は公式サイトのステータスページで即時に更新すると約束している。影響を受けた学校にとっては、学生の個人情報流出に関する法的責任に加え、校内の私的なメッセージが公開される可能性によるプライバシーの大波にも直面する。サイバーセキュリティの専門家は、このシステムを利用する関係者に対し、今後起こり得るフィッシングメールや詐欺行為に備えて警戒を保つよう助言している。
この記事 教育プラットフォーム Canvas が被害を確認、2.75 億件の利用者個人情報が流出する恐れ は 鏈新聞 ABMedia に最初に掲載されました。
