Canvas

ShinyHuntersの恐喝組織は、教育テクノロジー大手のInstructureに再び侵入し、今回は脆弱性を悪用して数百の大学のCanvasログインポータルを改ざんした。

この改ざんは、オフラインになるまでのおよそ30分間表示され、先のInstructureの情報漏えいの責任を主張し、身代金を支払わなければ盗まれたデータを流出させると脅迫するShinyHuntersからのメッセージが表示された。

メッセージでは、Instructureと学校は5月12日までに身代金の交渉のために連絡を取らなければ、生徒のデータが流出すると警告している。

「ShinyHuntersはInstructureに(再び)侵入した。解決するために私たちに連絡する代わりに、彼らは私たちを無視し、いくつかの “セキュリティパッチ “を行いました。

「被害を受けたリストに含まれる学校のうち、データの流出を防ぐことに関心がある場合は、サイバーアドバイザリー会社に相談し、TOXの私たちに個人的に連絡して和解を交渉してください。すべてが流出する前に、2026年5月12日までにご連絡ください」とメッセージは続いた。

Defaced University of Texas San Antonio Canvas login page
改ざんされたテキサス大学サンアントニオ校キャンバスのログインページ

このメッセージは、テキサス大学サンアントニオ校のCanvasログイン・ページにも表示されました。この改ざんメッセージはCanvasアプリにも表示された。

この改ざんは、Instructureのシステムに脆弱性があり、脅威行為者がログインポータルを変更できたことが原因とされています。Instructureはその後、キャンバスをオフラインにし、最新のサイバー攻撃に対応している。

先週、Instructureは、脅威行為者が同社の学習管理システムCanvasを使用している8,809の学校、大学、教育プラットフォームに関連する2億8,000万の学生および職員の記録を盗んだと主張した後、サイバー攻撃を調査していることを明らかにした。

ShinyHunters一味は後に、盗まれたデータにはユーザー記録、プライベートメッセージ、入学データ、およびキャンバスのデータエクスポート機能やAPIを通じて収集されたとされるその他の情報が含まれていると伝えた。

Instructureは、攻撃中にデータが盗まれたことを確認したが、引き続き調査中であることを明らかにした。

はInstructureに対し、今日の攻撃を含め、今回のデータ流出について学生や職員に通知する予定があるかどうかの質問を繰り返し問い合わせた。しかし、私たちの電子メールには今のところ返答がありません。

キャンバスは、高等教育や幼稚園から高校までの教育現場で最も広く利用されている学習管理システムの1つであり、学校がコースワーク、課題、成績評価、学生と教員間のコミュニケーションを管理するのに役立っている。

シャイニーハンターズとは?

ShinyHuntersという名前は、2018年以降にデータ侵害を行った数多くの 脅威行為者と長い間関連付けられてきた。

今年、ShinyHuntersの名前を使用する脅威行為者は、世界中の企業に対してデータ窃盗や恐喝攻撃を行う最も多量のグループの1つとなっています。

主にSalesforceやその他のクラウドSaaS環境に焦点を当て、脅威行為者はGoogleCiscoPornHubオンラインデート大手のMatch Groupなどの企業を巻き込んだ侵害の増加に関連している。

この恐喝組織は通常、サードパーティのインテグレーション企業に侵入し、盗んだ認証トークンを使って接続されたSaaS環境にアクセスし、顧客データを盗み出します。

この脅威者はまた、Okta、Microsoft、Googleのシングルサインオン(SSO)アカウントを標的とした音声フィッシング(ビッシング)攻撃を行うことでも知られており、ITサポートスタッフになりすまし、従業員を騙してフィッシングサイトに認証情報や多要素認証(MFA)コードを入力させている。

最初に報告されたように、ShinyHuntersグループは最近、Microsoft Entra認証トークンを入手するためにデバイスコードビッシング攻撃も採用している。

認証情報や認証コードを盗んだ後、SSOアカウントを乗っ取り、Salesforce、Microsoft 365、Google Workspace、SAP、Slack、Adobe、Atlassian、Zendesk、Dropboxなどの接続された企業サービスに侵入する。

ShinyHuntersギャングのメンバーは、数多くの攻撃に関与している一方で、恐喝アズ・ア・サービス・グループとして活動することも知られており、身代金の支払いの分け前と引き換えに、他の脅威行為者に代わって恐喝を行っています。

Snowflakeデータ盗難攻撃PowerSchoolでの侵害Breached v2ハッキング・フォーラムの運営に関連した容疑者を含め、ShinyHuntersの名前に関連する逮捕者が多数出ている。

しかし、これらの逮捕にもかかわらず、企業は “We are ShinyHunters “というメッセージで署名された恐喝メールを受け取り続けている。