ShinyHuntersが学習管理システムの急所を突いた——標的は9,000校以上が使うCanvasの親会社Instructure、タイミングは学期末の試験週という、これ以上ない最悪の瞬間だった。米・カナダ・オーストラリアにまたがる大学が一斉に機能停止に追い込まれ、学生たちは試験の中止通知を受け取ることになった。
ペンシルベニア州立大が試験を丸ごとキャンセル、9000校に広がる混乱
ペンシルベニア州立大学が木曜日に学生へ送ったメッセージは、かなり率直な内容だった。「Canvasへのアクセスは誰にもない。24時間以内の解決は見込めない」——そう書かれていたらしい。木・金曜に予定されていた試験は即座にキャンセルされた。
バンクーバーのブリティッシュコロンビア大学も、木曜夜の段階でCanvasが「親会社Instructureへのサイバー侵害により利用不能」だとアナウンスし、学生に即時ログアウトを呼びかけている。シドニー大学は金曜、学生に向けてこう伝えた。
「私たちは、この障害に巻き込まれた世界約9,000の教育機関のひとつです。Instructureからの情報を待っている状況です。学期の重要な時期にこれだけの混乱を招いていることは承知しています」
Instructure側は木曜夜遅くに「大半のユーザーはCanvasを利用できる状態に戻った」と発表したが、金曜になっても障害を報告する大学は後を絶たなかった。Canvas Instructureへのサイバー攻撃として、今回の件は教育インフラの脆弱性をここまであからさまに露わにした事例として記録されることになりそうだ。
ShinyHuntersが「学期末」を選んだのは偶然じゃない
ShinyHuntersはこれが初めての大規模攻撃じゃない。過去にもTicketmasterやSantander銀行など大手企業のデータを盗み出し、ダークウェブで売りさばいてきた実績があるグループだ。今回の攻撃で興味深いのは、ターゲットの選び方よりも「いつ仕掛けたか」という点かもしれない。
大学の学習管理システムは、普段は地味なインフラだ。でも学期末だけは別で、試験の提出、成績の記録、課題のアップロード——ほぼすべての学習活動がCanvasに集約される。そこをピンポイントで潰すことで、数万人の学生生活を一瞬で止められる。身代金交渉の圧力をかけるには、これ以上ない局面を選んだってことだろう。
大学 学習管理システムのセキュリティは、これまで金融や医療ほど厳しく問われてこなかった。今回の件が変わり目になる可能性はある。
この先どうなる
Instructureは現在、攻撃の詳細と被害範囲の調査を続けており、各大学への情報提供が遅れていることへの批判も出始めている。ShinyHuntersが今回の攻撃でデータを実際に窃取したのか、それとも単なるサービス妨害に留まるのかは、まだ明らかになっていない。学生の個人情報や成績データが流出していた場合、各国の個人情報保護法に基づく対応が求められることになる。短期的には試験の代替日程と救済措置が焦点で、中長期的には教育機関がSSOやバックアップ手段を持たない「単一依存」の危うさを問い直す流れになるんじゃないか。試験が終わっても、この問題の後片付けはまだしばらく続く。