米企業のInstructureが開発したクラウドベースの学習管理システム「Canvas LMS」を侵害し恐喝したShinyHuntersとはどのようなサイバー犯罪者なのでしょうか? Instructureはサイトで不正アクセス者との合意に達したと明らかにしました。
窃取データ返送、データ消去のデジタル確認受け取る
Instructureは、今回の侵害を受けてウェブに設置した「Instructureコミュニティの皆様へ」と題するページを更新し、不正アクセス者と合意に達したと表明しました。そして、窃取されたデータが返送されたこと、データ消去のデジタル確認を受け取ったことを明らかにし、ユーザーは公私を問わず恐喝されることはなく、不正行為者と連絡をとる必要はないとしています。Canvas LMSは4月30日にCnvas LMS APIに不具合が発生、Instructureは犯罪者によるセキュリティインシデントと認め、5月2日にはインシデントは収束したと発表しシステムセキュリティを強化するためのパッチを適用したことを明らかにしました。さらに5月9日にはCanvas LMSの完全復旧を表明しました。
ところがユーザーがCanvas LMSにログインするとShinyHuntersを名乗る者のメッセージが出現するようになり、メッセージにはInstructureが自分たちを無視してセキュリティパッチを適用したとする非難と、データの公開を阻止したいユーザーとは個別の交渉に応じる用意があること、ただし交渉の期限は5月12日の終業時間までとすることが記されていました。こうした事態を受けてInstructureが交渉に応じたものとみられます。ShinyHuntersは、データリークサイトで学生や教員2億7500人分のデータや数十億件のプライベートメッセージなどを窃取したと主張していました。InstructureがShinyHuntersに金銭の支払いをしたのか不明ですが、米下院の国土安全保障委員会がInstructureのCEOに証言を求めていると報じられており、CEOが米下院議会の委員会で証言すれば新たな事実が判明するかもしれません。
ソーシャルエンジニアリング駆使、SaaSアプリケーション標的
ShinyHuntersは2019年から活動しているようですが、その実態の詳細は明らかではありません。昨年、ボイスフィッシングで従業員を騙しSalesforce内のデータにアクセスするソーシャルエンジニアリングの手法で、Salesforceクラウドの顧客である大手企業を次々と侵害する事案が明らかになり、それらの犯行を主張したのがShinyHuntersでした。ShinyHuntersのテレグラムにScattered SpiderやLapsus$と協力して企業を標的にしているとの投稿があったことからこの3者が連携してデータ窃取、サイバー恐喝をおこなっている実態があることが明るみになり、その後、この3者はScattered Lapsus$ Huntersとして統合されたようですが、実際にはそれぞれのグループが役割分担をしてScattered Lapsus$ Huntersとして活動したり、個別のグループとしても活動し状況に応じて変容して活動をしているようです。
Google傘下のマンディアントは今年1月のブログで、ShinyHunters の名のもとで行われる恐喝行為と一致する戦術、手法、手順(TTP)を使った脅威活動が拡大していることを明らかにしました。この脅威活動では企業への初期アクセスを獲得して侵入に成功すると、クラウドベースの Software as a Service(SaaS)アプリケーションを標的とし、機密データや社内コミュニケーションを盗み出して、その後の恐喝に利用するということです。マンディアントはSaaSデータの窃取が拡大しているとして警鐘を鳴らしていましたが、Canvas LMSへの侵害はまさに、SaaSを突いた手口により大規模なデータ窃取の実行に至ったもので、SaaSアプリケーションを狙った攻撃をめぐる問題が浮き彫りになったと言えます。
【出典】
https://www.instructure.com/incident_update
https://www.docontrol.io/blog/shinyhunters
https://cloud.google.com/blog/ja/topics/threat-intelligence/expansion-shinyhunters-saas-data-theft