網路資安威脅
從 Canvas 大規模外洩事件,看教育產業的供應鏈資安風險
Instructure Canvas 外洩事件影響了全球各地的大專院校、幼稚園至高中 (K-12) 學區,以及教學醫院。本文提供了有關該事件的背景資訊與與實務指引。
Save to Folio
摘要
2026 年 5 月,SHADOW-AETHER-015 外洩了 50 個國家共 8,809 家 Canvas 客戶的資料,這起事件的起因似乎是 Canvas 的母公司 Instructure 的平台後端系統遭駭客入侵所導致。此次外洩事件影響了全球各地的大專院校、幼稚園至高中 (K-12) 學區,以及教學醫院,其中包括八家常春藤聯盟 (Ivy League) 學校。由於 Canvas 會儲存個人揭露的敏感資訊,例如:住宿申請時的醫療資料以及與顧問的私人對話,因此其最大風險在於假借真實機構名義的高度針對性魚叉式網路釣魚。至於立即性的風險則包括:後續的社交工程攻擊、登入憑證濫用,以及針對性網路釣魚攻擊。
當學習管理系統遭到入侵時,其衝擊絕對不會只有技術方面,Canvas 是學生分享醫療需求、尋求顧問支援,以及處理學習生涯最私密情況的平台。Canvas 的母公司 Instructure 已確認遭到入侵,意味著這些系統所取得的敏感資訊,現在很可能已經落入不法份子手中。本文的目的是要協助您了解這起事件的來龍去脈、實務上的意義,以及您接下來該做些什麼。
全球數千家正在使用 Canvas 的機構,其資安與 IT 團隊都已經進入應變狀態。這份最新的內容,提供了明確的情資、透明的資訊,以及實務指引來支援應變工作。
什麼是 Instructure Canvas 外洩事件?
Canvas 是全球數千萬名學生和教育工作者所選擇的學習管理系統。它可用來發送作業、記錄成績、管理與數十種第三方工具的 API 整合,最重要的是,它讓學生與老師、顧問以及校方人員之間可以私下對話。
根據 TrendAI™ Research 指出,SHADOW-AETHER-015 駭客集團已發布了一份含有 8,809 家教育機構名稱的文件,幾乎可以肯定這些是 Canvas LMS 客戶帳號和機構的資料。目前,駭客存取的完整範圍還無法確定,但由於 Canvas 在這些機構的日常生活中所扮演的角色,使得這次的資料外洩比一般平台的外洩事件更加敏感。
| 8,809 家機構資料遭到外洩 |
50 個國家受到影響 |
1,616 個幼稚園至高中學區確認受到影響 |
8 家常春藤聯盟大學 |
Canvas 這起外洩事件為何嚴重?
並非所有資料外洩事件都一樣嚴重,這起事件之所以特別值得關注,有以下幾個原因:
- Canvas 會保存一些異常敏感的個人資訊。例如,學生在申請住宿時所揭露的醫療狀況、與顧問分享的個人情況,以及與權益代表人之間的溝通。
- 外洩事件讓後續攻擊變得很容易得逞。駭客現在可能掌握了一些真實姓名、機構電子郵件地址、課程內容,以及私人訊息的歷史記錄,因此很容易製作出與受害機構正常通訊幾乎難以分辨真假的網路釣魚訊息。
- API 整合放大了衝擊。由於 Canvas 可經由 API 金鑰連上數十種第三方應用程式,因此,外洩事件迫使受害機構必須針對所有外部整合重新授權,導致許多期末考期間需要用到的工具都受到影響。
- 影響遍及全球不同產業。Canvas 已深入幼稚園至高中、高等教育機構以及醫療機構 (經由醫學院的計畫),因此,下游風險並不只限於特定類型的機構或特定地區。
有多少家機構受到 Canvas 外洩事件影響?
TrendAI™ 分析了 SHADOW-AETHER-015 發布的資料之後揭露了這起外洩事件的完整範圍。外洩名單涵蓋了全球六大洲 50 個國家的數千家機構,使得這起事件成為有史以來分布最廣的教育產業資料外洩事件之一。
| 地區 | 機構數量 | 占整體的百分比 |
|---|---|---|
| 北美 | ~8,361 | 94.9% |
| 歐洲 | ~196 | 2.2% |
| 亞太地區 | ~175 | 2.0% |
| 拉丁美洲 | ~55 | 0.6% |
| 中東與非洲 | ~12 | 0.1% |
光美國就占了所有受害機構的 94.6% (8,335 家),而澳洲 (122 家)、英國 (70 家) 和巴西 (29 家) 則是北美以外地區受害最嚴重的國家,以上數字總共代表了 46 個國家。
在 8,809 個機構當中,已確認數字的包括 2,514 家高等教育機構,其中包含了常春藤聯盟全部 8 所大學、主要的州立大學體系,以及牛津 (Oxford)、劍橋 (Cambridge)、新加坡國立大學 (NUS)、澳洲墨爾本大學 (University of Melbourne) 等國際知名學校,還有 1,616 個幼稚園至高中學區,包括像 Clark County (拉斯維加斯)、Houston ISD 和 Miami-Dade 這樣的大型都會學區。
資料中出現了開發、UAT 和測試環境執行個體,顯示後端基礎架構遭到了存取或發生平台層級的入侵,使得這起攻擊與表面層次的攻擊截然不同。
SHADOW-AETHER-015 如何發動攻擊?
勒索集團展現了中高階技術能力,從他們能夠取得大規模的平台資料來看,他們應該是存取了後端系統,或使用了精密的 API 漏洞攻擊。
根據 SecurityWeek 指出,SHADOW-AETHER-015 也曾參與 2025 年發生的 Instructure Salesforce 環境入侵事件,該事件造成數百萬筆資料外洩。根據文獻,他們的作法通常是透過某個受信任的第三方整合來進入更高價值的目標。
Canvas 事件受害機構接下來可能會遭遇哪些網路攻擊?
此次外洩最嚴重的風險不是當下的損失,而是未來可能發生的狀況。發生大量資料外洩的幾週之後,通常會引來:
- 利用機構真實情境的魚叉式網路釣魚行動:提到真實存在的課程、顧問以及學生狀況,瞄準教師、校方人員與學生。
- 嘗試利用外洩的登入憑證駭入受害機構的系統:尤其是 Canvas 和其他內部帳號都使用相同的登入憑證時。
- 針對個人的社交工程攻擊:使用從 Canvas 訊息中蒐集到的敏感個人資訊,包括醫療狀況和個人情況。
擁有大型研究所與專業課程的機構將面臨較高的風險,上榜的醫療機構 (包括 Weill Cornell Medical College、University of Nebraska Medical Center 以及多家巴西的醫院系統) 都應將 HIPAA 相關衝擊納入應變計畫的一環。幼稚園至高中學校則必須履行 FERPA 和 COPPA 的義務,因為涉及到未成年兒童的資料。
Canvas 外洩事件之後受害機構該如何保護自己?
想要偵測資料外洩後續的社交工程技巧,需要交叉關聯整個攻擊面的通訊行為,而非只是過濾已知的惡意指標,因為這些指標不會出現在使用機構外洩資料的攻擊當中。
任何持有關鍵及敏感資料的機構都需要一套主動式方法:發掘整體攻擊面、找出有風險的資產並判斷其優先次序、掌握駭客可能採取的攻擊路徑,以及實施可降低資安風險的控管措施。
接下來會發生的事,不會出現明顯的警訊,而是像是一封來自熟人的訊息,提及真實存在的課程或對話。所以,最佳的防禦並非更快的過濾能力,而是更廣泛的可視性,將整個環境的訊號串連起來,在問題發生之前預先找出不對勁的地方。
TrendAI™ 的客戶已經受到 Canvas 相關活動監控的保護
TrendAI™ Research 正在積極追蹤大型教育資料外洩之後通常會出現的魚叉式網路釣魚活動、登入憑證濫用行為,以及社交工程活動。這些情資會直接融入 TrendAI Vision One™ 的防護當中,因此客戶將受益於我們研究團隊在全球看到的威脅情勢,而非只有發生在他們環境內的情況。
關於 TrendAI™ Research
憑藉著數十年人工累積的情資,以及將 AI 應用在網路資安領域將近 20 年的加速經驗,讓我們團隊擁有絕佳的深度視野來了解敵人如何運作,包括他們鎖定哪些目標、如何移動,以及發現目標之後會做些什麼。像這樣的先見之明,正是我們應對眼前情況的利器:不單要了解發生了什麼,還要協助企業機構搶先駭客一步。
常見問題:Instructure Canvas 外洩事件
以下回答幾個企業機構、學生和資安團隊面對 Canvas 外洩事件可能詢問的問題。
TrendAI™ Research 在外洩的資料中找到了 8,809 家機構,遍及 50 個國家。常春藤聯盟的八所大學全部上榜,還有美國主要州立大學體系、1,616 個幼稚園至高中學區,以及劍橋、牛津、新加坡國立大學和澳洲墨爾本大學等國際機構。
外洩的資料是受害的機構和使用者在 Instructure 的 Canvas 平台上儲存和交換的資料。其中可能包括了個人身分識別資訊 (PII),而且由於 Canvas 在教育機構中所扮演的角色,因此還可能包含住宿申請所需的醫療資訊、與顧問之間的私人對話,以及個人揭露的敏感資訊,但不包括受害機構內部 IT 系統的存取權限。
Canvas 經常被學生用來揭露醫療狀況以便申請住宿,或是和顧問及權益代表私下溝通,這些對話很可能也在資料外洩的範圍內。受害機構應視其為可能外洩的敏感個人資訊,並且通知受影響的對象。
否。遭到入侵的是 Instructure 的 Canvas 平台,而非受害機構的內部系統,駭客不會因為這起外洩事件就能直接存取您的內部環境。不過,失竊的資料卻可能讓駭客發動非常容易讓人上當的網路釣魚和社交工程攻擊,如果不加以處理,就可能導致登入憑證外洩。
立刻警示員工、教師以及學生,告訴他們可能會遇到一些很容易讓人上當的網路釣魚郵件,信件中會提到真實存在的課程和顧問姓名。重新檢視 Canvas API 所整合的功能並重新給予授權。檢查是否有 Canvas 的登入憑證與其他內部系統的登入憑證相同,並強制實施多重認證 (MFA)。幼稚園至高中的學校以及醫療機構都應開始規劃 FERPA、COPPA 和 HIPAA 的宣導。採用 TrendAI™ 來監控下游威脅活動。
SHADOW-AETHER-015 具備了中高階技術能力,他們慣用的手法是經由受信任的第三方整合來進入更高價值的目標,TrendAI™ Research 正在積極追蹤該集團的活動。