LMS「Canvas」で大規模障害発生！ランサムウェア被害の影響か

現在、教育プラットフォーム「Canvas (Instructure)」において、深刻なサービス障害が発生しています。一部では、ランサムウェア攻撃によるものとの見方も広がっています。利用中の機関やユーザーは、今後の公式アナウンスや復旧状況に注意が必要です。

https://archive.is/5v693

ここにもあるよ: https://news.ycombinator.com/item?id=48054386

2010年頃、大学の友人が「Blackboardはクソだから、新しいのを作ろうぜ」って言ってたのを思い出す。当時はそんなの無理だろって一蹴したんだけど、なんとその1年後にCanvasが出てきたんだよね。外から見てると、彼らはマジで大成功してるわ。

妻が有名大の大学院に通ってるんだけど、ちょうど春学期の中間テスト期間にこれに巻き込まれてるよ。大学が自前で学習ポータルを作るのが難しいのは完全に理解できるけど、こういう基幹システムをサードパーティ製に頼るのって、単一障害点のリスクが高すぎる気がしてならないな。俺の時代なんて、学校のメールアドレスをオンプレのサーバーで運用してるくらいしかなかったよ。Webポータルで履修登録はしてたけど、せいぜいその程度。オンライン授業なんて概念すらなかったし。青本（試験用ノート）をハックする奴なんていなかったからな。

なぜか、ShinyHuntersよりも、ユーザーデータのセキュリティを疎かにしてる企業の方に嫌悪感を感じるんだよな。

セキュリティに集中するよりも、代名詞（プロナウン）の導入みたいな大事なことの実装で忙しいんだろ。

どうやらInstructureがShinyHuntersのサイトから削除されたみたい。リストからも学校の一覧からも消えてる。

1. 企業がランサムウェアの身代金を支払うのは違法にすべき。絶対にな。いかなる支払いも禁止だ。2. 攻撃者への罰則は、攻撃したシステムの種類に連動させるべき。病院を狙って死者が出たなら終身刑か死刑だ。犯行を思いとどまらせるくらい厳しい最低刑を設けるべきだよ。もちろん、これだけで攻撃が止まるわけじゃないから、企業側にもセキュリティ投資を怠った責任を負わせる必要がある。攻撃があるたびに、その企業が業界のベストプラクティスや十分な人員配置などの基準を満たしていたか調査すべきだ。基準を満たしていなかった場合の罰則は、懲罰的なものであるべきだよ。