C
月内に
オンライン学習プラットフォーム「Canvas」を運営するInstructure社が、ハッカー集団ShinyHuntersによるデータ窃取事件において…
📌 一言でいうと
オンライン学習プラットフォーム「Canvas」を運営するInstructure社が、ハッカー集団ShinyHuntersによるデータ窃取事件において、データの削除に関する合意に達したと発表しました。攻撃者は世界約9,000校、2億7,500万人のデータを漏洩させると脅していましたが、最終的にデータは返還され、削除証明(シュレッドログ)が提供されたとのことです。ただし、攻撃者が完全にデータを破棄したかを確実に確認する方法はないと認められています。
🔍該当判定
- 学習管理システム(LMS)として「Canvas」を利用している
- 社内研修や教育目的で「Instructure社」のサービスを導入している
- Canvasを通じて学生や受講生の個人情報を管理している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
Canvas等のクラウドサービスを利用している組織は、アカウントのパスワード変更を推奨し、多要素認証(MFA)を有効にすることを検討してください。また、サプライチェーンリスクとして、利用しているSaaSベンダーのセキュリティインシデント報告を継続的に監視してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Canvas(Instructure社)におけるデータ窃取インシデントについて
お疲れさまです。Canvasにおけるデータ漏洩事案に関する情報共有です。
■ 概要
ハッカー集団ShinyHuntersがCanvasのプラットフォームから大規模なデータを窃取し、身代金を要求しました。運営のInstructure社は攻撃者と合意に達し、データの返還と削除証明(shred logs)を受領したとしていますが、完全な削除の保証はない状況です。
■ 影響範囲
- Canvasを利用している教育機関およびユーザー(学生・教職員)
■ 対応手順
1. 自組織でCanvasを利用しているか確認し、利用している場合はユーザーへのパスワード変更周知を検討してください。
2. MFA(多要素認証)の設定状況を確認し、未設定のユーザーに適用を推奨してください。
3. ベンダーからの公式通知がないか、管理コンソールおよびメールを確認してください。
■ 参考情報
- SecurityWeek 記事
対応優先度: 中
対応期限: 速やかに確認
お疲れさまです。Canvasにおけるデータ漏洩事案に関する情報共有です。
■ 概要
ハッカー集団ShinyHuntersがCanvasのプラットフォームから大規模なデータを窃取し、身代金を要求しました。運営のInstructure社は攻撃者と合意に達し、データの返還と削除証明(shred logs)を受領したとしていますが、完全な削除の保証はない状況です。
■ 影響範囲
- Canvasを利用している教育機関およびユーザー(学生・教職員)
■ 対応手順
1. 自組織でCanvasを利用しているか確認し、利用している場合はユーザーへのパスワード変更周知を検討してください。
2. MFA(多要素認証)の設定状況を確認し、未設定のユーザーに適用を推奨してください。
3. ベンダーからの公式通知がないか、管理コンソールおよびメールを確認してください。
■ 参考情報
- SecurityWeek 記事
対応優先度: 中
対応期限: 速やかに確認
Subject: [Info] Data Breach Incident involving Canvas (Instructure)
Dear Team,
This is a technical update regarding the data breach of the Canvas learning platform.
■ Overview
The threat actor group 'ShinyHunters' exfiltrated a massive amount of data from Canvas and demanded a ransom. Instructure has reported reaching an agreement for the return and deletion of the data, receiving 'shred logs' as confirmation. However, the company admitted that absolute verification of data destruction is not possible.
■ Scope
- Educational institutions and users (students/faculty) utilizing the Canvas platform.
■ Recommended Actions
1. Verify if your organization utilizes Canvas and consider advising users to update their passwords.
2. Review MFA (Multi-Factor Authentication) adoption among users to mitigate credential-based risks.
3. Monitor official vendor communications for further updates or specific impact notifications.
■ Reference
- SecurityWeek Article
Priority: Medium
Deadline: Immediate review
Dear Team,
This is a technical update regarding the data breach of the Canvas learning platform.
■ Overview
The threat actor group 'ShinyHunters' exfiltrated a massive amount of data from Canvas and demanded a ransom. Instructure has reported reaching an agreement for the return and deletion of the data, receiving 'shred logs' as confirmation. However, the company admitted that absolute verification of data destruction is not possible.
■ Scope
- Educational institutions and users (students/faculty) utilizing the Canvas platform.
■ Recommended Actions
1. Verify if your organization utilizes Canvas and consider advising users to update their passwords.
2. Review MFA (Multi-Factor Authentication) adoption among users to mitigate credential-based risks.
3. Monitor official vendor communications for further updates or specific impact notifications.
■ Reference
- SecurityWeek Article
Priority: Medium
Deadline: Immediate review