Canvas運営元のInstructure、ハッカーに身代金を支払い

 (insidehighered.com)
1 ポイント 投稿者 GN⁺ 6 시간 전 | 1件のコメント | WhatsAppで共有
  • Instructureは学習管理システム Canvas を2度侵害した ShinyHunters に身代金(Ransom)を支払い、復旧に向けた合意を結んだ
  • 合意に基づき、ハッカーが 8,800以上の機関 の約2億7,500万人のユーザーに関連する侵害データを返還したと明らかにした
  • Instructureは、データ破棄の確認である shred logs と、顧客が追加の恐喝被害を受けないという保証を受けたと説明した
  • ShinyHuntersは氏名、メールアドレス、学生ID、非公開メッセージの流出を警告し、Canvasの障害によって大学は試験や締め切りの延期を余儀なくされた
  • National Cybersecurity Allianceの Cliff Steinhauer は、身代金の支払いが攻撃者への報酬となり、長期的な露出リスクを高める可能性があると評価した

Instructureの身代金支払いとCanvasの復旧

  • Instructureはこの1週間半の間に、自社の学習管理システム Canvas を2度ハッキングしたサイバー犯罪組織にRansomを支払った
  • Instructureの月曜夜の 更新 によると、今回の合意により、ハッカーは 8,800以上の機関の約2億7,500万人のユーザー に関連する侵害データを返還した
  • Instructureは、データ破棄のデジタル確認である shred logs を受け取り、今回の事件によって「Instructureの顧客が公にであれその他の形であれ恐喝されることはない」という保証も確保した
  • 今回の合意は「影響を受けたすべてのInstructure顧客」を対象としており、個別の顧客はCanvasを2度侵害して一時的に停止させた恐喝組織 ShinyHunters と連絡を取る「必要はない」と案内された
  • Instructureは、サイバー犯罪者を相手に完全な確実性はないものの、可能な範囲で顧客に追加の安心を提供するため、管理可能なあらゆる措置を講じることが重要だと考えている
  • Instructureは、フォレンジック分析の支援、環境の強化、関連データ全体のレビューのために専門企業と引き続き協力しており、作業の進行に応じて更新を提供する予定だ

ShinyHuntersの要求とCanvasサービス停止

  • Instructureは合意金額を公表していないが、合意は ShinyHuntersが提示した5月12日の身代金期限 の前日に成立した
  • ShinyHuntersは、University of Pennsylvania、Princeton University、Harvard Universityの最近のデータ侵害とも関連付けられている
  • ShinyHuntersによるCanvas侵入は重大なサービス障害を引き起こし、氏名、メールアドレス、学生ID番号を含むユーザーデータを流出させたくなければ金を払えとInstructureに警告した
  • ShinyHuntersは、5月3日に Ransomware.liveに掲載された脅迫文 で、「学生と教師、学生同士の間で交わされた数十億件の非公開メッセージ」と個人的な会話、その他の個人識別情報を保有していると主張した
  • ハッカーはInstructureに 2026年5月6日 までに連絡するよう要求し、さもなければデータを流出させ、「厄介なデジタル上の問題」を引き起こすと警告した
  • Instructureはこの要求に応じなかったようだが、セキュリティ問題には対処し、Canvasは 5月5日火曜日 までに完全に利用可能になった
  • しかし木曜日にはCanvasユーザーが再びアカウントにアクセスできなくなり、期末試験や学期末課題を準備していた多くのユーザーにはハッカーのメッセージだけが表示された
  • ハッカーのメッセージには「ShinyHuntersがInstructureを再び侵害した」とあり、Instructureは自分たちと連絡を取らず セキュリティパッチ だけを適用したと主張していた
  • そのメッセージは、影響を受けた学校がデータ公開を防ぎたいならサイバー助言会社に相談し、TOXで非公開に連絡して合意を交渉するよう求め、各機関とInstructureに 5月12日 の期限を示した
  • ShinyHuntersは RansomLookに掲載された脅迫文 で、Instructureは状況を理解しようともデータ公開を防ぐための交渉に乗り出そうともしなかったうえ、要求額も思われているほど高くなかったと主張した

大学の対応とInstructureのコミュニケーション変化

  • Canvasの障害が続いたため、複数の 大学が試験と最終プロジェクトの締め切りを延期 し、問題解決を待った
  • Instructure CEOの Steve Daly は、2度目の侵害後に会社サイトで公開した更新の中で、先週は公に発言する前に事実を正確に確認しようとしたが、そのバランスを誤ったと認めた
  • Dalyは「事実確認に集中し、皆さんに継続的な更新が必要なときに沈黙していた」と述べ、今後はこれを改めると明らかにした
  • その後Instructureはハッカーとのコミュニケーションも始めたようで、月曜午後に ウェブサイト で「すべてのCanvas環境が利用可能である」と告知した

身代金支払いのリスク

  • National Cybersecurity Allianceの情報セキュリティ・エンゲージメント担当ディレクター Cliff Steinhauer は、身代金の支払いがInstructureの目先の問題を解決した可能性はあるが、一般的なサイバーセキュリティ対応の原則には反すると評価した
  • Steinhauerは、身代金の支払いが「攻撃者が成功した侵害によって事実上報われる危険なフィードバックループ」を生みかねないとみている
  • 組織が目先の危機を「解決」したと信じたとしても、サイバー恐喝の 経済的インセンティブ を強化し、大規模な教育プラットフォームや重要サービスを狙うことが利益になるというシグナルを脅威アクターに与える可能性がある
  • 同氏は、法執行機関が一貫して警告しているように、身代金の支払いは業界全体へのさらなる攻撃を助長し、支払い自体を実行可能なインシデント対応戦略として常態化させるリスクがあると述べた
  • Steinhauerは、InstructureとShinyHuntersの合意には 信頼と確実性 の問題も残ると評価した
  • 犯罪者が盗んだデータを削除したと主張したり、破棄の「証拠」を示したとしても、それを信頼できる形で検証する方法はなく、過去にはデータが保管・再販売されたり、将来の恐喝に再利用されたりする例が多かったと説明した
  • リスクの観点では、組織は目の前の短期的なサービス停止と引き換えに長期的な露出問題を抱え込む可能性があり、その問題は数か月後または数年後に再び表面化するかもしれず、それを防ぐための追加のてこもないかもしれない

関連記事

1件のコメント

 
GN⁺ 6 시간 전
Hacker Newsの意見
  • 数年前、司法省の関係者がこの種の身代金支払いをテーマにした対談に登壇していたカンファレンスに出席したことがある
    彼はこれを誘拐の ransom に近いものとして説明していた。アメリカ人が人質に取られると各家族は金を払いたくなるが、その結果としてアメリカ人を誘拐する産業が生まれる。議会は誘拐犯への支払いを違法化してこれを抑え、採算が取れなくなったアメリカ人誘拐は減る一方で、ヨーロッパ人が標的になったという説明だった
    彼の提案は、この状況によく関わるサイバーセキュリティコンサルタントと保険会社に対し、制裁対象国への支払いはすでに違法である可能性が高く、調査対象になりうると警告し始めようというものだった。初期に捕まる人たちは大きな打撃を受けるだろうが、最終的には業界が方向転換し、アメリカ企業を狙うことが減ると見ていた
    • この方向が正しい。身代金を払ってランサムウェア犯罪産業を新たに育てるより、企業にバックアップからの復旧を強制し、犯罪の金銭的インセンティブをなくすほうがよい
      定期バックアップをきちんとしていなかった役員は当然責任を負うべきだ
    • 十代の若者たちに暗号資産で数百万ドルを渡すのが良い考えだと誰が思ったのか
      その金はさらなる脆弱性攻撃やさらにくだらないことに使われるだけで、終わりのない底辺への競争だ。ShinyHunters の上位グループである Lapsus$ も、自分たちのウェブサイトに会社ネットワーク内部へのアクセス権を買いたいと載せていた。データは要らず、侵入経路だけ欲しいと言っていた
      追跡しにくい暗号資産で犯罪者に何百万ドルも渡し続ければこうなる
    • こうした身代金支払いがなぜマネーロンダリング防止法違反にならないのかわからない。受取人が制裁対象でないことや、制裁対象組織と関係がないことを検証したとは思えない
    • アメリカで誘拐犯に金を払うのは本当に違法なのか? そういう法律が実際に成立したという資料を見つけられない
  • ゲーム理論と経済的インセンティブについて良い話が多いが、もっと重要で自己防衛的な論点がある。身代金を払うとハッカーは10倍群がってくる
    身代金支払いは3つのシグナルを与える。攻撃に弱いこと、攻撃から復旧できないこと、そして現金があることだ。結果として、はるかに多く攻撃されるようになる。どうしてわかるのかと聞かれるかもしれないが、答えるつもりはない
  • 一方では、身代金を払うたびに似たような連中がランサムウェア事業を始めたり拡大したりするよう促してしまうので良くない
    他方で、商売を続けたいランサムウェア組織は、データを公開したり削除しなかったりしないという意味で「誠実」である必要がある。そうしないと信頼できるランサムウェア運営者でいられないというのが妙におかしい。多くの場合、被害者はデータが流出することより、ランサムウェア運営者に金が支払われるほうを選ぶ。だから現在の被害者にとっては支払いが最善かもしれないが、将来の被害可能性は高める
    ランサムウェアの力学と経済学は興味深い
    • これは常に身代金のゲーム理論であり、典型的な集団行動問題であり囚人のジレンマの形でもある
      個々の企業にとっては身代金を払うほうが有利である可能性が高いが、全員が支払わなければ全体としてはより良くなる
      だからアメリカのようなところには公式のノーランサム方針があり、他にも同様の方針が存在する。個別の被害者が金を払えないよう強制する仕組みがなければ、常に支払いへと誘因が生まれ、身代金は利益を生み続ける
      https://en.wikipedia.org/wiki/Collective_action_problem
      https://en.wikipedia.org/wiki/Prisoner%27s_dilemma
    • 攻撃者の評判がそこまで意味を持つのかはわからない。彼らはいつでも新しい名前でリブランディングできる。どうせ匿名のサイバー犯罪者であり、評判洗浄以外にもそうする理由はいくらでもある
      同じ連中が「新しい」名前を使おうと既存の名前を使おうと、被害者にとってシステムを人質に取られた状況での計算はあまり変わらないように思える
    • 身代金支払いは常に違法であるべきで、支払いを承認した従業員は連邦刑事訴追を受けるべきだ。その結果企業が潰れたり人が死んだりしても受け入れ可能な犠牲だと思う
    • ランサムウェアが存在し続け、いつでも全データが人質に取られうる世界を前提にするなら、それに合わせて設計された世界になるだろう
      最終的には Discworld 風の「ランサムウェア・ギルド」ができて「保険料」を取り、無許可でデータを人質に取る者を始末するか、あるいはデータが無価値になるようなエンドツーエンド暗号化ベースのシステムが作られるのではないか
    • 「善意のテロリスト」[0]というアイデアを時々考える。より良い世界に行くために、一部の人々に大きな害を与える存在という意味だ。Dune の Kwisatz Haderach がその典型で、完全に独創的というわけではないだろうが、身代金を受け取ったあと絶対に約束を守らないランサムウェア企業を運営したらどうなるか、という発想は面白かった
      多くの人を破滅させるだろうが、彼らをうまく模倣し、金を受け取ったあと復旧を行わないほど、最終的にはランサムウェアをビジネスとして成立させられなくできるかもしれない。何がまずいことになるっていうんだ? ;)
      0: https://wiki.roshangeorge.dev/w/Benevolent_Terrorist#Poisoni...
  • これは結局のところ「身代金は払ったが、悪党どもが大丈夫だと保証したので心配するな」という話を、イメージ管理用の包装でかなり強く包んだものに見える
    • 「データ破棄のデジタル確認(shred logs)を受け取った」と言っているが、これでハッカーがデータを一切保持していないとユーザーに信じさせようとしているのか?
    • ハッカーに身代金を払うのは違法だと思っていたが、合法なのか、あるいは明確でないのかもしれない。少なくとも、身代金が政府の支払い制裁リストに載っているハッカーグループへ渡らないよう、会社が法執行機関とともに確認しなければならない条件があると理解していた
      攻撃の根本原因も気になる。オンラインでは、ShinyHunters がよく使うパターンであるSalesforce Experience Cloud サイトの脆弱性に関連している可能性があるという噂を見たが、確認はされていない。確実に確認されているのは、その脆弱性が Canvas の「Free-For-Teacher accounts」機能に関連していた点だ
    • 金を受け取った悪党が情報を再び公開すれば、自分たちが今後金を受け取れる可能性だけでなく、他の悪党たちが金を受け取れる可能性まで下げることになる
      だから他の犯罪者ですら、金を受け取ったあと情報を流出させる連中を止める誘因がある

  • We received digital confirmation of data destruction (shred logs).
    これは驚くほどナイーブな発言

    • ハッカーには約束どおりデータを破棄する誘因がある。身代金を払ったのにデータが流出する流れが定着すれば、今後は誰も身代金を払わなくなるからだ
      もちろん、ハッカーがデータを密かに売っておきながら「自分たちではない、別のハッキングで同じデータを得た誰かがやった」と言うことまでは防げない
    • ナイーブなのではなく、顧客がナイーブであることに期待しているように見える
    • データをコピーしたあと、そのコピーの1つだけを破砕しただけかもしれないし、そもそも破砕ログ自体を捏造していないとどう保証するのか
    • 面目を保つための広報文句であってほしいだけだ。それでも企業にはこういう主張をやめてほしい
  • 良い情報技術系公共プロジェクトがあるとすれば、身代金要求に屈した組織の公開リストを維持して、私たちが別のところを選べるようにすることだろう
    ただし名誉毀損責任の可能性を前にすると、かなり勇気の要ることでもある。免責文言でそのリスクを大きく回避できるとも思えない
    • では、ハッキングされたが身代金を払わず、その結果顧客データが流出したところへ取引先を移すつもりなのか?

  • The data was returned to us.
    私の理解ではデータはコピーされたもの[1]だ。元データが暗号化または削除されたのでない限り、データが「返還された」とは言わない気がする。この表現はやや紛らわしいが、業界ではよくある言い回しなのかもしれない
    これはMoneroには追い風だ[2]。1月の急騰もハッキングが原因だった可能性がある[3]
    ShinyHunters のウェブサイトには Canvas が載ったあと[4]、取り下げられていた[5]
    [1] https://www.youtube.com/watch?v=IeTybKL1pM4
    [2] https://search.brave.com/search?q=monero+price&rh_type=cc&ra...
    [3] https://xcancel.com/zachxbt/status/2012212936735912351
    [4] https://archive.ph/4zD7f
    [5] https://archive.ph/NYWbJ

    • ハッカーは次の身代金を受け取るためにも、流出させないほうに誘因があるはずだ
    • データ漏えい時に、データが実際に「盗まれる」ことは稀だという点を指摘する良い機会でもある。本当の脅威と被害は、盗まれたデータが自分に不利な形で使われるときに生じる
    • 引用のすぐ次の行はこれだ:

      We received digital confirmation of data destruction (shred logs).
      削除していなかったとしても驚きではないが、おそらくそれで「返還」と呼んでいるのだろう。彼らの認識では、データは「返還」されたあと削除されたからだ

  • 長期的に見ると、こういう会社はハッキングされて賄賂的な身代金を払った結果、何らかの形で潰れるほうがよいのではないかと思う
    ハッキングの代償が低すぎる。特に上級管理職や経営陣にとっては、具体的な時間や資源コストを伴う抽象的な出来事としてしか扱われていない
    • データ侵害がその会社の破綻の始まりだったと認める企業を見たことがない
      侵害後に顧客が大規模に離れていくこともない。資金不足で過重労働の 7,000 の教育機関が一斉に移行することもないだろう
      だからデータ侵害が起きても、その会社に持続的な影響はないと見て差し支えない。数か月後には全部忘れられる
  • ShinyHunters のページから消え、復旧もあまりに早かったので、そうだろうと思っていた。いちばん気になるのはいくら払ったのか
    データは安全だとか破棄されたとかいう彼らの表現もあまり好きではない。こうした事件でその種の約束はかなり疑わしく見える
  • こういうものは会計処理をどうするのか? 費目は何になるのか? 会社は税務当局に何の説明もなく、正体不明の暗号資産アカウントへ大金を送れるのか?
    • 身代金は保険会社が払うもので、履行中の保険契約にその支払いをひも付けるのだと思う。税務上の影響はわからないし、金融や会計の人間でもない
    • 「データ復旧」じゃないだろうか?