Instructure says hackers used Canvas flaw for extortion message on login portals

教育テクノロジー大手のInstructure社は、セキュリティの脆弱性によりハッカーがCanvasのログインポータルを改ざんし、恐喝メッセージを残していたことを確認した。

Instructure社は、今回の侵入と改ざんの両方に複数のクロスサイトスクリプティング(XSS)の脆弱性が関与しており、攻撃者は認証された管理者セッションを取得することが可能であったことを明らかにした。

2回目のハッキングは、その1週間前に公表された最初の侵害を受けて、Instructure社に注意を喚起し、身代金を支払う交渉に入るよう圧力をかけるためのものだった。

Instructure社は、世界中の学校や大学が課題やコースワークを処理するために使用している人気の学習管理システム(LMS)であるCanvasの開発元である。

4月29日、同社はネットワークが侵害されたことを発見し、”直ちに不正アクセス者のアクセス権を剥奪し、調査を開始し、外部のフォレンジック専門家に依頼した”。

数日後、同社はサイバー攻撃でデータが盗まれたことを確認し、ShinyHuntersはデータ流出サイトでInstructureを公開し、3.6テラバイト以上の非圧縮データを盗んだと述べた。

Instructureに身代金の支払いを強要するため、この脅威者は5月7日、最初の侵入で使用されたのと同じ脆弱性を使用して再びInstructureをハッキングしました。

ShinyHuntersは、ユーザー生成コンテンツ機能内のXSSバグを悪用した悪意のあるJavaScriptを注入し、認証された管理者セッションにアクセスさせ、特権的なアクションを実行させた。

日曜日にInstructureは電子メールで、悪用されたセキュリティ問題は、個人教育者向けのCanvas LMSの無料限定版であるFree-for-Teacher環境に影響したことを確認した。

「権限のない行為者は、一部の生徒と教師がキャンバスを通じてログインしたときに表示されるページに変更を加えた」 –Instructure

当時、同組織は、悪意のある活動が広がるのを防ぎ、原因を特定し、”追加の安全策を適用するため、Canvasを一時的にオフラインにした “と付け加えた。

ShinyHuntersはこの欠陥を利用して、Canvasのログインポータルにメッセージを追加し、同社および同社のプラットフォームを使用している学校は5月12日までに連絡を取り、身代金の交渉を行うよう警告した。

ShinyHunters message left on University of Texas San Antonio Canvas login page
テキサス大学サンアントニオ校のCanvasログインページに掲載されたハッカーのメッセージ

Instructureは問題が解決するまで、Free-For-Teacherのアカウントを停止した。しかし、キャンバスは復旧し、5月9日から使用できる。

キャンバスのログインポータルが改ざんされた際にデータが漏えいしたわけではありませんが、ShinyHuntersが最初の侵害で流出させたデータには、ユーザー名、電子メールアドレス、コース名、登録情報、メッセージなどが含まれているようです。

ShinyHuntersによると、Instructureの侵害は8,809の教育組織(学校、大学、カレッジ、オンラインプラットフォーム)に影響を与え、ハッカーは学生、教師、その他のスタッフの2億7,500万レコードを盗んだと主張している。