ハクソク

世界を動かす技術を、日本語で。

Instructureが「Canvas」ハッカーに身代金を支払う

21時間前原文(insidehighered.com)

概要

  • Instructure社 のLMS「 Canvas」が2度にわたりハッキング被害
  • 2億7500万人分のデータ流出、身代金支払いでデータ返還
  • サービス停止により 多くの大学で試験延期 など影響拡大
  • 専門家は「 身代金支払いはリスク」と警告
  • 今後の サイバーセキュリティ対策強化 が急務

InstructureとCanvasの大規模ハッキング事件

  • Instructure社 の学習管理システム(LMS)「 Canvas」が、サイバー犯罪集団「 ShinyHunters」により2度にわたり侵害
  • 被害は 8800以上の教育機関2億7500万人分のユーザーデータ (氏名、メールアドレス、学生IDなど)が対象
  • Instructureは 身代金を支払い、ハッカーから「データ破棄のデジタル証明(shred logs)」を受領
  • 同社は「 顧客が個別にハッカーと交渉する必要なし」と発表
  • Canvasは 北米の高等教育機関の41% で利用、影響範囲が非常に広大

ハッカー「ShinyHunters」とその脅迫手法

  • ShinyHunters は、 University of Pennsylvania、Princeton、Harvard などでもデータ侵害を起こした実績
  • 身代金未払いの場合、「 全ユーザーデータ公開」と脅迫
    • 数十億件のプライベートメッセージや個人情報も含む
  • 5月12日を支払い期限とし、教育機関やInstructureへの直接交渉も呼びかけ
  • 一度目の侵害後、Instructureはセキュリティ強化を実施したが、再度突破される事態に

影響とInstructureの対応

  • Canvas利用停止 により、多くの大学が 試験や課題の締切延期 を余儀なくされる
  • Instructure CEOの Steve Daly は、「情報開示が遅れた」と謝罪し、今後は透明性を高める方針を表明
  • 5月中旬時点で「 全Canvas環境が復旧」と報告

身代金支払いのリスクと専門家の見解

  • National Cybersecurity Alliance のCliff Steinhauer氏は、「 身代金支払いはサイバー攻撃を助長 する」と指摘
    • 攻撃者に経済的インセンティブを与え、今後の標的拡大リスク
    • 支払いによる「データ削除証明」も 信頼性が低い と警告
    • 長期的にはさらなる 情報流出や再脅迫のリスク が残存
  • 法執行機関も「 支払いは推奨しない」と一貫して警告

今後の課題と展望

  • Instructureは 専門業者と連携し、フォレンジック調査とセキュリティ強化 を継続
  • 教育分野全体での サイバーセキュリティ意識向上インシデント対応力の強化 が急務
  • 今回の事例は、 大規模教育サービスに対する攻撃の深刻さ と、 身代金支払いの是非 について新たな議論を呼ぶ

Hackerたちの意見

データが私たちに返されました。私の理解では、そのデータはコピーされたものだと思っていました。データが「返される」ことは、暗号化されているか、オリジナルが削除されていない限りないでしょう。この表現に混乱していますが、もしかしたら標準的なものかもしれません。モネロにとってはいいニュースですね。1月の急騰はハッキングによるものかもしれません。こちらがShinyhuntersのウェブサイトです。Canvasがリストに載っていて、その後削除されました。

ハッカーが漏らさないようにするインセンティブがあるんだろうね。そうすれば次の身代金を逃れられるから。

データが暗号化されていない限り、データを「返す」ことはないよ。引用した次の行はこうだね:> データ破壊のデジタル確認を受け取りました(シュレッドログ)。もし彼らが削除しなかったら驚くけど、彼らが「返された」と呼ぶ理由は、彼らの信念によればデータは「返された」後に削除されたからだと思う。

データ漏洩があったとき、実際にはデータが盗まれることは少ないってことを指摘するのはいいタイミングだね。本当の脅威や被害は、盗まれたデータが自分に対して使われるときなんだよ。

LOL、これは「身代金を払ったけど、悪党たちが大丈夫だって言ってるから心配しないで」っていう、すごい重たいオプティクスのフレーミングだね。

ハッカーに身代金を払うのは違法だと思ってたけど、実際は合法なのかな?それともあまりはっきりしてないのかな?企業は法執行機関と一緒に確認しなきゃいけない条件があると思ってたけど、少なくとも身代金が政府の制裁リストに載ってるハッカーグループに渡らないようにするためにね。それと、攻撃の根本原因を知ってる人いる?オンラインで噂を読んだけど(どこにも確認されてないけど)、ShinyHuntersの一般的なパターンで、Salesforce Experience Cloudサイトの脆弱性を利用してる可能性があるって。確実に確認されているのは、「Free-For-Teacherアカウント」というCanvasの機能が関与している脆弱性だってこと。

悪党たちが払われて情報を公開したら、将来的に払われる可能性が低くなるだけじゃなくて、誰もが払われる可能性が低くなるんだよね。別の悪党たちですら、払われた後に情報を漏らさないようにするインセンティブがあるんだ。

「データ破壊のデジタル確認を受け取りました(シュレッドログ)」って言ってたけど、これってユーザーを騙して、ハッカーがデータを保持してないと思わせるためのものなの?

一方で、身代金を払うことで同じような考えの人たちがランサムウェアを始めたり、強化したりするのを助長するから、あまり良くないよね。もう一方では、ビジネスを続けたいランサムウェアグループは、データを公開したり削除したりしないという点で正直でなければならないから、そうしないと「信頼できる」ランサムウェアオペレーターにはなれないっていうのは、ちょっと面白い考えだよね。そして多くの場合、被害者はデータが漏れないようにランサムウェアオペレーターに払ってもらいたいと思ってるから、払うのが現在の被害者にとってはベストなんだよね(でも将来の被害者の可能性を高めるけど)。ランサムウェアのダイナミクスや経済は本当に興味深い。

これが常に身代金のゲーム理論で、典型的な集団行動問題の例なんだよね(囚人のジレンマの一形態でもある)。各企業は身代金を払った方が得だと思うけど、誰もが身代金を払わなければみんなが得なんだ。だから、例えばアメリカが公式にノーランサムポリシーを持っている理由や、他のノーランサムポリシーが存在する理由なんだ。個々の被害者が払わないように強制する何かが必要で、そうしないと常に払うインセンティブがあって、ランサムウェアは利益を上げ続けることになる。 https://en.wikipedia.org/wiki/Collective_action_problem https://en.wikipedia.org/wiki/Prisoner%27s_dilemma

もしランサムウェアが常に存在していて、いつでもデータが身代金にされる世界を想定すると、そのために設計された世界になるだろうね。ディスクワールドの「ランサムウェアギルド」に保険を払って、誰かがデータを身代金にするのを許さないようにするか、エンドツーエンドの暗号化に基づいたシステムでデータが無価値になるかのどちらかだね。

攻撃者の評判って、あんまり意味があるとは思えないな。グループはいつでも新しいアイデンティティに変わることができるし。結局、彼らは匿名のサイバー犯罪者だから、評判を隠す以上の理由でそうすることもあるだろうし。被害者にとっては、同じ人たちが「新しい」名前を使おうが古い名前を使おうが、システムを人質に取られる状況はあんまり変わらない気がする。

一方で、ビジネスを続けたいランサムウェアグループは正直であるべきだと思う。最近そのことを考えてたんだけど、正直言って、あんまり関係ない気がする。企業が身代金を払わなかったら、訴訟のリスクがあるかもしれないし、「何もしなかった」と見なされるかも。少なくとも払うことで、何かしたように見えるし、法的な防御になるかもしれない。でも、また言うけど、俺は弁護士じゃないから。

じゃあ、「ホワイトハット」ランサムウェアグループを考えてみるのはどう?お金を取って、データも漏らすことで、長期的には誰も払わなくなって、ランサムウェア攻撃を減らすっていう。

この計算を別の視点で見ると、インフラをしっかり守って最新の状態に保っていれば、(ほぼ)最初から身代金を払う必要がないってことだよね。

ランサムウェアグループが全データをコピーして、別の名前でダークウェブでバラ売りするのを止めるものは何?現実的には、それが本当かどうかを確認できるのは買い手だけで、彼らは目立たない方が得をするからね。

ふと思いついたのは「慈悲深いテロリスト」ってアイデア。ある人たちに大きな害を与えて、より良い世界に導くってやつ。完全にオリジナルじゃないけど、Duneのクイザッツ・ハデラックがその典型だよね。でも、面白い考えがあって、もし身代金を払わないランサムウェア会社を運営したらどうなるんだろう?多くの人を困らせるけど、結局は身代金を取った後にうまく偽装して配信しなければ、ランサムウェアがビジネスじゃなくなるかも。何が悪くなるっていうの? ;)

一つの問題は、現代のランサムウェアグループも狙われてるってこと。自分たちが身代金を要求されてるランサムウェア団体も多いから、信頼できないんだよね。最初のグループに身代金を払っても、次のグループが情報を漏らす可能性があるし。

それはハッカー組織が長期的な戦略を考えてるって前提だけど、アメリカ政府や多くの企業はそれすら実践してないからね。そこに賭けるのは無理だと思う。

良いインフォテックの公共サービスプロジェクトは、身代金要求に屈した組織のリストを公開することだと思う。そうすれば、他の場所にビジネスを移す選択ができるし。ただ、名誉毀損のリスクを考えると、勇気のいる行動でもあるよね。免責事項がそのリスクを回避できるとは思えないし。

じゃあ、ハッキングされたところにビジネスを移す方がいいの?身代金を払わず、顧客データが漏れたところに?

データ破壊のデジタル確認を受け取りました(シュレッドログ)。これは驚くほどナイーブだね。

データをコピーしてから、一部を破棄したり、適当なログを作ったりする可能性はないのかな?

これがただのPRの試みであることを願うよ。でも、企業にはその主張をやめてほしいな。

彼らはナイーブじゃないと思うよ。クライアントがナイーブだって計算してるんじゃないかな。

そうだと思ってた。ShinnyHuntersのページから消えたし、すぐに復活したからね。気になるのは、いくら払ったのかってこと。あと、データが安全だとか破棄されたっていう声明はあんまり信じられないな。こういう事件に関しては、ちょっと疑わしい約束に感じる。

これに興味ある!ShinyHuntersのウォレットアドレスをリストしたツイート[1]を見つけたけど、先週の小さな取引しかないみたいだね: https://www.blockonomics.co/#/search?q=bc1q5530apqz86eywm2f8... [1] https://xcancel.com/search?f=tweets&q=1968412640398430555

数年前、こういう身代金の支払いに関するDoJの公式との「ファイヤーサイドチャット」に参加したことがある。彼はこの問題を誘拐の身代金に似ていると説明してた。アメリカ人が人質に取られると、家族は支払う傾向があるけど、それがアメリカ人誘拐の産業を育てることになる。議会は誘拐犯に支払うことを違法にして、それで産業が変わったんだ。利益の出ないアメリカ人誘拐をやめて、代わりにヨーロッパ人をターゲットにするようになった。彼の提案は、こういう状況にしばしば関わるサイバーセキュリティコンサルタントや保険会社に、制裁対象国への支払いはすでに違法の可能性があり、調査を受けるかもしれないと警告することだった。最初にこの影響を受ける人は大変かもしれないけど、最終的には業界が進んで、アメリカの企業をターゲットにするのをやめると彼は信じていた。彼の計画がどうなったかは分からないけど、この問題の捉え方は面白いと思ってた。

アメリカ人が誘拐されたことは一度もないって、ほんと良かったね。

これが正しい方向だね。身代金を払う代わりに、企業がバックアップから復旧・復元するように強制する方がいい。犯罪の金銭的なインセンティブをなくすべきだし、定期的なバックアップを怠った経営者は当然責任を取るべきだよ。

こんな身代金を払うのがAML法に違反じゃないってどういうこと?受取人(犯罪者)が制裁対象じゃないか、または制裁対象の組織と関係がないって確認したとは思えないんだけど。

データ自体が価値あるから、攻撃は続くんじゃないかな?

同意はするけど、攻撃者がデータを盗んで他の悪党に転売するインセンティブもあるよね。結局、企業が持ってるデータの多くは自分たちのものじゃなくて、顧客のものだから。ビジネスが自分たちのものを守ろうとしないから、結局苦しむのは顧客なんだよね。

制裁がここで身代金を払わない理由になるとは思えないな。ShinyHuntersに関わってる人たちがどこにいるかは分からないけど、過去に逮捕された人たちはアメリカ人やフランス人だったし。

アメリカで誘拐犯にお金を払うのは違法なの?そんな話聞いたことないし、実際にそんな法律が通ったっていう情報も見つからないんだけど。

ティーンエイジャーに何百万ドルもクリプトで払うのがいいアイデアだなんて、誰が思ったんだろう?彼らはそれをもっと悪用するだけなのに。どんどん悪化していくね。姉妹グループのLapsus$(親グループはShinyHunters)は、自分たちのウェブサイトで企業ネットワークへの内部アクセスを買うって公言してる。彼らはデータが欲しいわけじゃなくて、ただ手段が欲しいだけなんだ。このまま犯罪者に何百万も追跡しづらいクリプトで払ってたら、こうなるよね。でも、なんかちょっと面白いと思っちゃうんだよね。

長期的に見て、こういう会社がハッキングされて賄賂を払う結果として何らかの形で壊れた方がいいのかな?ハッキングされるリスクが低すぎると思う、特に経営層や上層部では、抽象的なことが具体的な時間やリソースのコストにつながるから。

データ漏洩を理由に倒産し始めた企業を見たことがないな。顧客は漏洩後に一斉に移行することはないし、7000の資金不足で過重労働の教育機関が一斉に移行することもない。だから、データ漏洩が起きても企業に持続的な影響はないと言えると思う。数ヶ月後にはみんな忘れてるよ。

これがHNだから、どうやってハッキングされたのか知ってる?私たちのサービスを守るために何か学べることがあるかな?

現在、堅実な妥協指標(IOC)のリストを特定する作業を進めていて、それを顧客に提供する予定だよ。https://www.instructure.com/incident_update ただ、顧客だけに提供するってのが気になるな。一般には公開しないのか。

オンラインで読んだんだけど、「教師向けの無料アカウント」に関係してるみたい。これは、学校がCanvasサービスに加入していないときに、教師が無料でアクセスできる方法だと思う。確証はないけど、Salesforce Experience Cloudのサイトで何らかの設定ミスがあったのかもしれない。ShinyHuntersがこういうサービスを利用することが多いって聞いたし、企業がデータの適切な権限を設定するのを忘れちゃうことがよくあるから、いろんなデータをSalesforceに放り込んじゃうんだよね。

このブログ記事[0]によると、事件後の変更履歴から、ハッカーがサポートチケットのXSSを使ってセッショントークンを抜き取った可能性があるみたい。その後、カスタムテーマを使って身代金のメモが表示されたんだって。[0]: https://cyber.acmucsd.com/canvas (開示: 学生の時にこの団体に関わってた)

大企業が被害に遭った際に支払った身代金の額を知りたいな。公にされてないその金額が、今のインフレや経済にどれだけ影響を与えているのか、あまり話題にならない気がする。