教育ソフトウェアCanvasの親会社Instructureは、最近のデータ漏洩事件についてハッカーと合意に達したことを発表しました。同社は、ハッカーが盗まれたデータが削除されたことを示す証拠を提供したと述べており、Canvasの顧客は今後、ハッカーと個別に交渉したり、身代金を支払ったりする必要はありません。
ハッカーが2億7500万人のデータを窃取したと主張
TechCrunchの報道によると、ネット犯罪グループ「ShinyHunters」が4月29日の侵入事件を主張し、Canvas関連システムから約2.75億人の学生および教職員のデータを窃取したと述べました。Canvasは約9,000の学校で学生情報や課程の管理に使用されています。
そのグループは先週、再び攻撃を仕掛け、一部の学校ウェブサイト上のCanvasログインページを改ざんし、身代金の支払いを迫った。
会社は身代金を支払ったかどうかを明らかにしていません
Instructureは月曜日の夜に更新したイベントページで、ネット犯罪者との交渉には「常に完全な確実性が存在しない」としながらも、顧客がハッカーと接触する必要はなくなったと述べた。同社は合意の財務条件を明かさず、実際に身代金を支払ったかどうかも明らかにしていない。
TechCrunchは、ShinyHuntersが以前、自らの漏洩サイトで、企業が支払いをしない場合、窃取したデータを公開すると脅していたと報じた。火曜日までに、この投稿は削除された。このグループはまた、メディアに対して、データは「既に削除された」ため、今後、企業やその顧客に対して支払いについて連絡することはないとも述べた。
類似の事例では二度目の身代金要求が発生しました
報道によると、Instructureの今回の事件は、2024年にPowerSchoolが経験した大規模なデータ漏洩と類似している。PowerSchoolは当時、ハッカーに支払いをしてデータの返却を要請したが、その後、顧客が別の犯罪グループによって再び勒索された。これは、「削除された」と主張されたデータが必ずしも真正に消去されていないことを示している。
先週、米国連邦捜査局は、全米の学校および教育機関に影響を与えるシステム障害イベントを確認したことを示し、被害者に対してネット犯罪者への支払いや勒索要求への対応を控えるよう注意を促した。
現在、Instructureはこの事件を継続して調査しており、関連する発見を確認中です。同社は、1年以内にシステムが2回ハッキングされたことを認めており、ただし、両事件は互いに独立しており、異なるシステムが対象であると述べています。