ジョージア工科大学の情報技術部門が金曜日にユーザーにCanvas侵害を通知した通知の画像。
マイケル・ウォーレン/AP通信
字幕を隠す
字幕を切り替える
マイケル・ウォーレン/AP通信
オンライン教育プラットフォームのCanvasは木曜日のデータ侵害を受けてオフラインになり、全米の何千もの大学や幼稚園から高校までの学校の学生や教師が一時的に最終期間中、コースの教材や通信にアクセスできなくなった。
ペンシルバニア大学の政治学教授デーモン・リンカー氏は、「障害が起きたとき、国内のどこかで、おそらくプラットフォーム上で期末試験を受けていた人たちがいたはずだ」と語る。
親会社の Instructor によると、北米の高等教育機関の半数を含む 3,000 万人のユーザーが、コースの管理、課題の提出、成績の確認、コミュニケーションの促進に Canvas を利用しています。
しかし、Linker と他の多くのユーザーが木曜日の午後にこれを行おうとしたところ、黒い画面と警告メッセージが表示されました。
そこには「シャイニーハンターズが(再び)Instruturaを破った」と書かれていた。 「修正するために私たちに連絡する代わりに、彼らは私たちを無視し、いくつかの『セキュリティパッチ』を作成しました。」
ShinyHunters は、2024 年に発生した大規模な Ticketmaster データ侵害の首謀者と同じ組織です。多くの同様のグループと同様、これも「ランサムウェア ギャングのような」リモートで協力するグループです。ハッカーから身を守るための人々や企業を訓練する SocialProof Security の CEO、レイチェル・トバック氏は言います。
ShinyHunters は今週初めに脅威インテリジェンス Web サイトに、土曜日の最初の侵害には、世界中の約 9,000 校の 2 億 7,500 万人の生徒、教師、職員からの個人メッセージを含むデータが関与していたと書いた。同団体は木曜日、影響を受けた学校はサイバー顧問会社に相談し、暗号化されたチャットプラットフォーム「Tox」を通じて取引交渉を行うことでデータの公開を回避できると発表した。
「すべてが漏洩するまでには、2026年5月12日の終わりまでに時間が必要だ」とハッカーらは書いている。
インストラクチャーは今週、多数のサイバーセキュリティ侵害を確認し、ウェブサイトで最新の状況を提供した。同氏は、この侵害には名前、電子メールアドレス、学生ID番号、ユーザーメッセージなどの個人情報のみが関与していたようで、パスワード、生年月日、政府識別子、財務情報などは含まれていなかったと述べた。
InstructuralはFAQページで、4月29日にCanvas上での不正行為を初めて検知した後に調査を開始し、同じ不正行為者が「一部の学生や教職員がオンラインのときに現れるような変更を行った」ため、木曜日にCanvasをオフラインにしたことを認めた。彼らは、俳優がFree-for-Teacherアカウントの問題を悪用し、一時的に閉鎖したと述べた。
同氏はNPRへの声明で、「これにより、Canvasへのアクセスを復元する自信が得られ、現在は完全にオンラインで使用できるようになっています」と述べた。 「ご迷惑とご心配をおかけして申し訳ございません。」
Instructorが身代金を支払ったのか、ハッカーの期限である5月12日までにCanvasへのアクセスを取り戻すことがどのような意味を持つのかは不明だ。
トバック氏は、交渉が成功したか、ハッカーが「攻撃がそこまで進まなかった」ため、キャンバスがオンラインに戻った可能性があると述べている。いずれにせよ、ユーザーは、Canvasになりすましてパスワードの変更を要求したり、教授になりすまして教材を送付したりするフィッシングメッセージに特に注意する必要がある、と同氏は言う。
「私はここで何らかの副作用があるだろうという仮定の下で手術をします」と彼女は言います。
全員がすぐに再接続されたわけではありません
木曜日の真夜中少し前に、Instructor はオンラインで「Canvas をほとんどのユーザーが利用できるようになった」と投稿しましたが、Canvas Beta と Canvas Test という 2 つの別個のサービスは依然としてメンテナンス モードのままでした。
少なくとも一部の学校では、サービスがまだ復旧していないか、管理者が近づかないように警告していたため、金曜日になっても生徒と教師は依然としてCanvasにアクセスできなかった。
例えば、ペンシルベニア州立大学は金曜日の朝、学校のキャンバスへのアクセスは部分的に回復したが、「まだ使用できる状態ではない」と述べた。
「ペンシルバニア州立大学の技術チームは、私たちのコミュニティにシステムを導入できるよう積極的に取り組んでいます」と彼は付け加えた。 「アクセスが回復すると、Canvas の統合と関連サービスは段階的にオンラインに戻ります。」
いくつかの学校は、Canvas へのアクセスを一時的に無効にするか、ユーザーにオプトアウトするよう直接求めるなど、同様のアプローチを採用しています。カリフォルニア大学は学校に対し、「システムの安全性が確認されるまで、キャンバスへのアクセスは復元されない」と述べた。
そして、それは高等教育だけではありません。メリーランド州モンゴメリー郡公立学校システムは金曜日の朝、家族に、サービスは復旧しているものの、「アクセスを回復する前にシステムのテストとレビューを続けている」と警告しました。
Tobacは、これは学校が攻撃者が依然としてシステム内に侵入し、パスワードやメッセージなどの情報を盗む可能性があると考えていることを意味している可能性があると述べている。
「攻撃者は機密情報を入手した可能性が高く、… [schools] この情報をオンラインに公開したくないのです」と彼女は言います。
ジョージタウン大学が警告したように、多くの学校は、キャンバスから送信されたと思われる迷惑メールやメッセージ、特にログイン認証情報を要求するメールやメッセージに厳重に警戒するようユーザーに呼びかけている。影響を受けたオランダの教育機関44校のうちの1つであるアムステルダム大学も、同じパスワードを使用している場所以外ではパスワードを変更するよう人々に勧告している。
Tobac はまた、パスワード マネージャーを使用し (ログインごとに長いランダムなパスワードを生成するため)、Canvas だけでなくすべてのオンライン アカウントに対して多要素認証を有効にすることを推奨しています。彼女は、不審な電話、テキストメッセージ、電子メールを受信した生徒や教師は「別の通信方法を使用して、何が本物であるかを確認する」必要があると述べています。
同氏はさらに、「たとえ昨日侵害がなかったとしても、これらのことを行うことをお勧めします」と付け加え、人々に「礼儀正しく偏執的になる」よう促した。
ギャップが決勝戦を中断、脆弱性を浮き彫りにする
情報漏えいの影響を受けたいくつかの大学はすでに一部の期末試験を延期または完全に中止しており、他の大学は学生や教師にそうしなければならない可能性があると警告している。
イリノイ大学はすべての最終試験と予定されていた課題を日曜日まで延期する。ペンシルバニア州立大学は、木曜日の夜と金曜日に予定されていた一部の試験を中止し、「最終採点に向けた次のステップを決定する」ために教員と協力していると述べ、その間、学生に(キャンバス以外の)メールを定期的にチェックするよう呼び掛けた。そしてベイラー大学は金曜日の試験を延期し、全教員に「ローカルコンピュータにある学習教材をできるだけ早く」学生に送付するよう要請した。
この侵害は、学術界の多くが単一の集中プラットフォームに依存していることを浮き彫りにしました。
UPennのリンカー氏はNPRに対し、木曜日の午後、月曜日の期末試験に向けて勉強しようとしていた学生たちが突然パワーポイントやリーディング、過去の試験にアクセスできなくなり、パニックに陥ったメッセージを殺到したと語った。
「Canvas のようなプラットフォームを使用する場合の最大の問題は、 [students] 「測定結果を印刷物やラップトップで入手することはできません。すべてがオンライン プラットフォーム上に存在しており、そのプラットフォームがダウンすると、それらにアクセスする方法がなくなります。」と彼は説明します。
同氏は木曜日、金曜日の朝までにCanvasへのアクセスが回復しなかった場合、コース教材を別のプラットフォーム(DropboxやGoogle Docsなど)にアップロードするだろうと学生たちに伝えた。幸いなことに、東部標準時間午前 9 時直前にオンラインに戻った、と彼は言います。
しかし、Linker 氏は、将来的に Canvas に完全に依存することを心配していると述べています。
「これによって明らかになった内容、それに含まれる脆弱性、さらにはデータ侵害に対する懸念を考慮すると、これが本当に賢明な方法なのかを再考し始めています」と彼は言います。
その一例が分類です。 Linker 氏は、Canvas を使用すると、個人の評価と全体の評価の両方で生徒の得点の計算と重み付けが非常に簡単になるため、デジタル成績表に進化したと述べています。今後は、万が一に備えて生徒の成績をアナログで記録し始めるかもしれないと同氏は言う。
Canvas には Blackboard のような競合企業もあるが、将来の侵害に対してそれほど脆弱ではないとリンカー氏は言う。そしてタバコ氏も同意する。
「問題は、この Web サイトでサイバー イベントが発生したということではありませんよね。この世界には攻撃できないものはないのですから」と彼女は言います。 「私たちが考えなければならないのは災害復旧です。サイバーイベントが発生したときにどのようにビジネスを継続し、悪者を締め出すためにあらゆる手段を講じるにはどうすればよいでしょうか。」
Tobac氏は今週、多くの教育機関がCanvasを使わずに学生と教員がつながりを保ち、コースの教材にアクセスする方法について明確な計画を持っていないことが明らかになったと述べた。同氏は、これらの計画はさまざまな状況や学校のスケジュールに応じて変わるべきであり、それが、一部の学校が通常通り決勝戦を開催する一方、他の学校が試験を完全に廃止する理由の説明になる可能性があると述べた。しかし、彼は彼らが共通の目標を持って直後の事態に臨むことを望んでいる。
「私たちは人々に尊厳と敬意を持って接しなければなりません」とトバック氏は言う。 「そして私は、各機関が時間制限や制限の範囲内でそれを実行することを願っています。」
