Canvasがダウン、ShinyHuntersが学校データ流出を予告

Hacker Newsのコメント

• 現場の視点で言うと、私はCanvasを使っている大学で教えていて、しかも今は期末試験期間です。
  今日の午後5:17 EDTに教務から最初の障害通知メールを受け取り、6:24と6:57にも追加のメールが来ましたが、実際に何が起きているのかよりも、補償や代替手続きの話が大半でした。
  「全国的な停止」「サイバーセキュリティ攻撃」以外に詳細はなく、大学側もそれ以上は分かっていないようです。
  気になるのは、Canvasで提出された課題について、学生に教員へ直接メールで送るよう指示が出たことです。つまり、すぐ復旧するという確信がないように見えます。
  個人的な影響は小さいです。私はCSの教員なので、学生の作業の多くは学科の設備で行われ、提出もそちらで受け取り、実際の試験は紙で実施しています。
  さらに重要なのは、私はCanvasの成績簿を信頼したことがなく、学生確認用としてのみCanvasに成績を載せ、元の成績簿は常にローカルのスプレッドシートで管理していることです。
  しかし多くの同僚にとっては、「建物が燃えて試験用紙も成績簿も全部消えた」レベルの災害です。対面授業しかしていない教員でさえ、評価の大半をCanvasの「quiz」機能に移しており、期末試験までCanvasで行い、Canvasの成績簿を原本記録としてきたからです。
  事務側も「成績提出が楽になる」と言ってそうするよう勧めてきました。こうした教員は学生の成果物をほとんど、あるいは全く持っておらず、学生もそもそもCanvas内で作成していたため、メールで再送できる資料がありません。成績や出席記録さえCanvas内だけで管理していた可能性があります。
  3月の中間advisory成績を提出していれば、その分くらいは参照できるでしょうが、それが全てかもしれません。
  直感では、数時間で解決するか、そうでなければ数週間かかる気がします。エアギャップバックアップがあり、新しいサーバーを立てるだけで済むなら前者、そうでなければ後者です。中間はあまりなさそうです。
  明日の朝までに解決しなければ、うちの大学や全国の多くの教員が、どうやって公正で妥当な成績を提出するのか本当に分かりません。
  極端な話、パンデミック学期のときや、実際にうちの大学で期末の1週間前に大きな学術棟2棟が焼けた学期のときのように、本来letter gradeを付ける授業でも合格/不合格で提出するしかないかもしれません。他に何ができるでしょうか。
  もちろん、すべての卵を一つのかごに入れず、「クラウド」を過信しないやり方もあったのでしょうが、もう手遅れです。長期的に見て、誰かがここから教訓を得るのかも気になります。
  更新: 11:45pm EDT時点で、うちの大学のCanvasインスタンスは再び動いています。このまま維持されるといいのですが、念のためいくつかはダウンロードしておくつもりです。

  • 学生がクイズなどを完了したときに、関連記録をメールで学生本人に送ることはとても簡単です。
    それをしないのは、データをコントロールしたいからでしょうし、大学がなぜそれを要求しないのか分かりません。
  • 教育分野のITで働いていますが、私たちもほとんど何も知りません。
    今日分かっていることは、RedditのスレッドとHacker Newsのスレッドに出ている内容だけです。公式コミュニケーションでは攻撃という言葉は一切出ていませんが、ログインページはShinyHuntersによって改ざんされていました。
  • ハイブリッドな対応も可能そうです。急いで期末試験やプロジェクトを作り、学生に合格/不合格か通常の成績かを選ばせる形です。
    そしてSaaSが消え去り、必要に応じて制御・修正できるソフトウェアを自分たちで配備できる日が来ることを願います。
  • 1回試験を実施して、その結果だけでその科目の成績を決めればいいのではないかと思います。
    本来それがあるべき姿で、学期中の課題点数や、もっと悪い場合には出席点などは、学生が内容を学んだかどうかを評価するのに必要ありません。試験をして終わりでいいのです。

• このスレッドのコメントがこんなに少ないのは驚きです。おそらく数百万人の学生が、1年で最もストレスの大きい時期に影響を受けているはずです。
  もともとCanvasや、おそらく他のあらゆる学習管理システム企業も嫌いでしたが、今回の障害がとりわけ皮肉なのは、大学がADA準拠の規定を理由に、すべての教員へ例外なく全資料をCanvasに載せるよう求めているまさにその時に起きたことです。
  たとえば個人ウェブサイトに置いたPDFを参照させることさえ明示的に禁止されています。
  ここにいる他の人たちは、多くの教員もCanvasの使用を強制されることを楽しんでいるわけではない、という点をよく分かっていないようです。

  • まだ私に強制することには成功していません。ただ、コンピューティング分野の教員の中にさえ、授業を支えるために必要な最低限のオンラインインフラを運用できない人がこんなに多いのは、なんともやるせないです。もちろん大学も簡単にはしてくれません。
    Canvasについてのもう一つの深刻な懸念は、教員がアップロードする全資料をAI代替物の学習に使っている可能性があることです。同僚たちはその件でブラックユーモアを飛ばしていますが、実際の行動はほとんど見ていません。
  • 今どきの学生とHN利用者はあまり重なっていないようです。知る限り、私はかなり珍しい例外です :)
    事務からはこれまでに、「Canvasによれば」で始まるメールが1通来て、その1時間後に「Canvasは無期限停止だ」というメールが来て、深刻さを認識していることが示されました。
    Canvasは、知らない人向けに言えば、クイズのような機能が付いた授業用Wikiに近いです。
  • Canvas経由の授業のライブ配信はとても人気があります。かなり多くの学生が、そのまま寮から見ています。
    なので学生たちは再び教室に来なければならなくなるかもしれず、それはなかなか見ものかもしれません。初回授業日は教室がほぼ満員、実際に立ち見になることもありますが、その後はどんどん減っていきます。100人規模の授業でも10人くらいしか来ないことがあります。
    Canvasがすぐ復旧しなければ、この理由でも現実の混乱はかなり大きくなりそうです。
  • CanvasがHTMLやPDFよりどういう意味でアクセシビリティに優れているのか分かりません。
    PDFリーダーがスクリーンリーダーに最適ではないのは確かですが、.html のコピーも一緒に載せればいいだけではないでしょうか。

• どんな会社であれ、ランサムウェアの身代金を支払うのは違法であるべきです。例外なく絶対に払うべきではありません。
  攻撃者への処罰は、侵害したシステムと結び付けるべきです。病院を攻撃して誰かが死亡したなら、終身刑か死刑に値します。最低刑は、攻撃を抑止できるほど十分につらいものでなければなりません。
  もちろんそれだけで防げるわけではなく、企業もセキュリティ投資不足の責任を負うべきです。すべての攻撃について、その企業が合意された業界標準のベストプラクティスや人員基準などを満たしていたか調査し、要件を満たしていなければ懲罰的な処分が伴うべきです。

  • 違法であるべきなのは、安全でないサービス運用です。特に個人情報を扱うならなおさらです。
    侵害は起こり続けているのに、誰も気にしていません。最悪でも顧客を数人失い、「信用モニタリング」を買って与える程度だからです。
    こうした事件の後には監査が行われ、起訴がなされるべきです。ずさんなセキュリティ失敗について、企業幹部を刑務所に送るべきです。会計不正で刑務所に行くなら、サイバーセキュリティの約束に関する詐欺でも刑務所に行けるべきです。
    彼らは複数のセキュリティ標準に準拠していると主張しています https://www.instructure.com/en-au/trust-center/compliance
    事後監査で、実際にどこまで実装されていたのか見てみたいです。
  • そもそも、海外の犯罪者に送金しにくくすることに集中すべきではないかと思います。/ふむ/ 悪意ある行為者への送金を可能にする暗号資産プラットフォーム /ふむ/
  • 各国はいつになったらサイバー攻撃を戦争行為として扱い始めるのでしょうか。
    北朝鮮軍が米国に来てFort Knoxから2億ドル分の金を奪えば報復があるでしょう。なのに同額を米国企業へのハッキングで奪っても、連邦政府は何もしません。
  • 「つらい最低刑」で外国籍の人や外国政府まで確実に思いとどまらせられるとは思えません。
  • 誰かが銀行強盗をしていて、中にいた人が心臓発作で死ねば重罪殺人です。
    ランサムウェア攻撃や脅迫、情報漏えいにも同じ原則を適用してほしいです。それが原因で誰かが自殺したなら殺人です。

• うちの子どもたちは、ちょうど期末試験週間のど真ん中です。完全に大混乱です。
  大学側は何も分かっておらず、Canvasは「scheduled maintenance」中だと主張し、ある教員は「オフラインに資料のコピーがない」と言っていて、かなり不用意に見えます。
  人気授業のあるクラスでは紙の試験になりそうで、別のクラスでは今日の早い段階ですでにCanvasベースで「2回目の受験は半分の点数」みたいな試験を受けたようです。
  名前と成績がデータダンプに載るまで、どれくらいかかるのでしょうか。
  これは、米国でTurboTaxが4月14日に「scheduled maintenance」を入れるようなものです。

  • 「Scheduled Maintenance」は完全にたわごとで、正直Canvasの印象をさらに悪くしています。
    ステータスページによれば、これで99.996%の稼働率らしいです。よく覚えておくといいでしょう。

• MITで教えている友人が今回の件に巻き込まれたそうです。
  MITのような場所に、この用途のオンプレミスソリューションを維持するIT人材がいないというのは、皮肉でもあり少し悲しくもありました。
  でも調べてみると、MITには自前開発のシステムがあり、最近Canvasへ移行したばかりでした。今ごろ後悔しているかもしれません。
  この10年で、自前で作るか買うかの判断が買う側にあまりにも傾きすぎた気がしていて、それは残念です。
  もちろん組織は中核能力に集中すべきで、時には中核でない仕事を外部ベンダーに任せるのが正しいこともあります。しかし、常に欠点はあります。

  • 自前開発のシステムは維持コストが高く、この時点の商用オプションと比べても、たいてい追いつけません。
    学習管理システムも、要するに非常に複雑なソフトウェアです。学部生のとき、うちの大学の自前版に関わったことがあります。
  • 教育分野で技術キャリアを始めた者として、まったく驚きはありません。
    野心があり有能なIT人材は、教育界に長く残りません。業界と比べると給与が非常に低いからです。
    私が働いていた場所では、一定年数勤めれば安定した年金を受け取れたので、ITスタッフは老後資金へのリスクを一切負いたくなく、できる限り多くを外注しようとしていました。問題はすべてコンサルタントのせいにして、できるだけ働かない、という感じです。
    文字どおり夢が死ぬ場所です。
    MITは優れた教員と学生で有名ですが、結局のところ大学運営はかなり標準的な仕事です。講義プラットフォームのサーバー管理に、天才ロックスターが必要なわけではありません。

• Stanfordの学生ですが、今回の障害は大学全体に大きな打撃を与えています。
  Brown、Harvard、MITのような東部の大学と違って、こちらはクォーター制なので、ちょうど中間試験を終えたところです。
  幸い、CS学科はCanvasから完全に独立していますが、私の人文学系の授業の大半はそうではありません。
  ある美術史の授業では中間課題をGoogle Driveのフォルダにアップロードするよう求められ、別の授業では週次クイズが中止されました。
  今回の件で、学生と教員がCanvasにどれだけ依存しているかが浮き彫りになりました。学生の立場から見ても、もともとあまり良くなかったプラットフォームから離れる議論が再燃してほしいです。

  • ShinyHuntersが学生や米国の若い知性にまで手を出してきたのは、本当に一線を越えた感じがします。
    企業を狙うのと学生を狙うのは違います。学生は放っておくべきです。

• Canvasの対応はひどいです。コミュニケーションもなく、ステータス更新もありません。
  プラットフォーム全体が侵害されたように見えるのに、すでに起きたセキュリティ侵害について実質的な報告が一つもないのも非常にまずいです。
  米国の学校の大半が今ちょうど期末試験中なので、サービスレベル契約違反や訴訟がどれだけ早く出てくるのか気になります。

  • Canvas/Instructureとはかなり多くやり取りしてきました。技術はまあまあです。
    文化としては、市場での地位のせいで自惚れが強いように見えます。

• 以前は多くの大学が自前開発またはオンプレミスの学生システムを運用していました。
  これがクラウド集中化の欠点です。インフラが侵害されると、個別導入の一つ二つではなく全員に影響します。
  今、彼らがその決定をどう感じているのか気になります。それでも「うちのせいではない」と言えるので、自前システムの脆弱性だった場合より気は楽かもしれません。

  • ソフトウェアに脆弱性が見つかれば、ハッカーは自動化によって何百もの別個の機関導入版を同じように容易に攻撃できます。
    脆弱性次第では、オンプレミス管理者が推奨セキュリティ対策をすべて適用していない場合、むしろそちらのほうが簡単かもしれません。
    実際にもっと気になるのは、この件でInstructureに金銭的責任があるのかどうかです。技術的な失敗はInstructure側なのに、身代金要求は大学側が受けているというのが興味深いです。
    稼働時間のSLAには慣れていますが、セキュリティ侵害のSLAはどうなのでしょうか。
  • 時間とお金をかけて自前システムを作って、それがハッキングされたのなら大学の責任だったでしょう。
    今ではブラックジャックのディーラーのように、手を叩いて手のひらを見せながら、責任なしでテーブルを去ることができます。自作せず製品を使う最大の利点の一つかもしれません。
  • それでもこのやり方のほうが安全です。特にAIベースのハッキングのせいで、曖昧さによる安全性に頼りにくくなっているので。
    もう一つ、他の当事者を責められること、そしてみんなで一緒に落ちるなら一緒に落ちるというのにも価値があります。

• 高校生だった2016年か2017年ごろ、課題提出フォームでごく単純なXSSを見つけて、プログラミングの先生に知らせたことがあります。
  その後Canvasが私のアカウントをロックし、たぶん最初で最後の放課後居残り処分を受けました。良い時代でした。

  • 似た話ですが、学校のブロックソフトはYouTubeや埋め込みを禁止していましたが、Canvas経由のものは許可していました。
    ディスカッションコメント用のHTMLエディタを無効化したのは賢明でしたが、リッチテキストエディタだったので、data:text/html にコードを入れ、要素をリッチHTMLとしてコピーすれば埋め込みをそのまま貼り付けられることを見落としていました。
    DOMPurifyのサンプルXSS一式も試しましたし、誰かのコンピュータにユーザー定義コンテンツをダウンロードさせる方法も一つ見つけました。
  • その脆弱性を実際に悪用してから先生に知らせたのですか。

• もし内部事情を知っている人がいれば、Parchmentも潜在的に影響を受けていたのか気になります。
  数年前にInstructureが買収し、非常に大量の成績証明書を扱っているところです。
  編集: https://status.parchment.com/ には、「Canvas、Canvas Beta、Canvas testは現在利用できませんが、Parchmentを含む他のすべての製品環境を同時に監視しています。現時点でParchmentのリソースが影響を受けたと考える理由はありません」とあります。