หากคุณทำงานด้านความปลอดภัยด้านไอทีในแวดวงการศึกษา ข่าวเกี่ยวกับ Canvas ผลกระทบแตกต่างออกไป บริษัท Instructure ผู้พัฒนาระบบบริหารจัดการการเรียนรู้ที่ใช้โดยมหาวิทยาลัยและโรงเรียนกว่า 8,000 แห่ง ประสบกับการถูกโจมตีทางไซเบอร์ครั้งใหญ่ โดยมีรายงานระบุว่าอาจมีผู้ใช้งานได้รับผลกระทบมากถึง 275 ล้านคน นับเป็นการโจมตีทางไซเบอร์ครั้งใหญ่ที่สุดครั้งหนึ่งในประวัติศาสตร์การศึกษา
ฉันเคยเห็นรูปแบบนี้มาก่อน และฉันเห็นใจทีมต่างๆ ในตอนนี้ที่ต้องรับโทรศัพท์จากผู้บริหาร ผู้ปกครอง และสื่อมวลชนพร้อมๆ กัน
ในขณะที่รายงานเบื้องต้นมุ่งเน้นไปที่การเข้าถึงโดยใช้ข้อมูลประจำตัวผ่านสภาพแวดล้อม Salesforce ของ Instructure ภาพรวมทั้งหมดแสดงให้เห็นถึงห่วงโซ่การโจมตีที่ซับซ้อนกว่านั้น การละเมิดข้อมูลในเดือนเมษายน 2026 ใช้บัญชี Free-For-Teacher ซึ่งเป็นโปรแกรมที่ Instructure ได้ปิดตัวลงอย่างถาวรแล้ว เป็นจุดเข้าโจมตีหลัก ซึ่งแตกต่างจากการละเมิดข้อมูลในเดือนกันยายน 2025 ที่เกี่ยวข้องกับการใช้เทคนิควิศวกรรมสังคมเพื่อโจมตีระบบ Salesforce ของ Instructure
เมื่อครั้งที่ Instructure เคยถูกโจมตีในเดือนกันยายนปี 2025 กลุ่ม ShinyHunters ได้ใช้กลวิธีทางสังคมเพื่อเจาะเข้าไปในระบบธุรกิจ Salesforce ของ Instructure โดยเข้าถึงข้อมูลติดต่อทางธุรกิจ แต่... ไม่ ข้อมูลนักเรียนหรือลูกค้าจากแพลตฟอร์ม Canvas อย่างไรก็ตาม การละเมิดข้อมูลในเดือนเมษายน 2026 นั้นแตกต่างออกไปโดยสิ้นเชิง: มันมุ่งเป้าไปที่ Canvas โดยตรง ระบบการผลิต โดยตรงแล้ว การโจมตีนี้จะเข้าถึงข้อความส่วนตัว ชื่อ ที่อยู่อีเมล และหมายเลขประจำตัวนักศึกษาของผู้ใช้มากถึง 275 ล้านคน ระบบต่างกัน ผลกระทบต่างกัน แต่ผู้ก่อภัยคุกคามรายเดียวกัน นี่แสดงให้เห็นว่า ShinyHunters มองว่า Instructure เป็นเป้าหมายที่มีมูลค่าสูงและควรกลับมาโจมตีอีกครั้ง และสถาบันใดก็ตามที่พึ่งพา Canvas ควรคาดการณ์ไว้ว่าการโจมตีแบบเดียวกันอาจเกิดขึ้นได้อีก
สำหรับสถาบันหลายแห่ง Canvas เชื่อมต่อกับ Salesforce แล้วแพลตฟอร์ม EdTech สมัยใหม่ส่วนใหญ่ก็เป็นเช่นนั้นเช่นกัน
คำถามที่ทุกสถาบันควรตั้งไม่ใช่แค่ “ข้อมูลนักเรียนของเราอยู่ในระบบของ Instructure หรือไม่?” แต่ควรเป็น “ผู้ให้บริการ SaaS ของเราสามารถเข้าถึงอะไรได้บ้างในสภาพแวดล้อมของเรา ผ่านการเชื่อมต่อที่เราอาจไม่ได้ตรวจสอบด้วยซ้ำ?”
ลำดับเหตุการณ์: การละเมิดข้อมูลเกิดขึ้นได้อย่างไร
สำหรับสถาบันที่ได้รับผลกระทบ นี่หมายความว่า การสอบปลายภาคถูกเลื่อนออกไประบบบริหารจัดการถูกล็อกดาวน์ และทีมรักษาความปลอดภัยทำงานตลอด 24 ชั่วโมง โดยมักจะมีข้อมูลที่ไม่ครบถ้วน
ทำความเข้าใจการโจมตี Canvas โดย ShinyHunters: การผสานรวม SaaS ก็เกี่ยวข้องกับอัตลักษณ์เช่นกัน
กลุ่มอย่าง ShinyHunters และ Scattered Spider ซึ่งเราได้วิเคราะห์กลยุทธ์ของพวกเขาอย่างละเอียดนั้น แทบจะไม่จำเป็นต้องค้นหาช่องโหว่ทางเทคนิคเลย เมื่อพวกเขาสามารถใช้ข้อมูลประจำตัวที่ถูกต้องได้ พวกเขาจะมองหาเส้นทางที่ง่ายที่สุด เช่น โทเค็น OAuth ที่มีขอบเขตมากเกินไป บัญชีบริการที่มีสิทธิ์พิเศษ หรือช่องโหว่ MFA ในระบบเก่า
วิธีที่ ShinyHunters หลีกเลี่ยงการตรวจสอบสิทธิ์แบบหลายขั้นตอน (MFA): AiTM และการหลอกลวงด้วยรหัสอุปกรณ์
นักวิจัยด้านความปลอดภัยได้บันทึกเทคนิคหลักสามประการที่ ShinyHunters ใช้ไว้ดังนี้:
การหลอกลวงทางโทรศัพท์ (Vishing) และการหลอกลวงแบบ AiTM (Adversary-in-the-Middle)
ผู้โจมตีแอบอ้างเป็นเจ้าหน้าที่ฝ่ายสนับสนุนด้านไอที โทรหาพนักงานเป้าหมายและนำพวกเขาไปยังหน้าเว็บฟิชชิ่งที่มีตราสินค้าของเหยื่อ เมื่อผู้ใช้ป้อนข้อมูลประจำตัวและรหัส MFA หน้าเว็บจะส่งข้อมูลเหล่านั้นแบบเรียลไทม์ไปยังผู้ให้บริการยืนยันตัวตนที่ถูกต้อง ซึ่งจะเห็นเป็นการเข้าสู่ระบบปกติและอนุมัติการเข้าถึง ทำให้ระบบ MFA แบบดั้งเดิมถูกข้ามไปได้
การหลอกลวงทางโทรศัพท์ + การหลอกลวงรหัสอุปกรณ์
ผู้โจมตีหลอกให้ผู้ใช้ป้อนรหัสในหน้ายืนยันตัวตนที่ถูกต้องของ Microsoft (หรือ IdP อื่นๆ) ซึ่งจะทำให้ได้รับโทเค็น OAuth โดยตรง ไม่ใช่รหัสผ่านหรือรหัส MFA เทคนิคนี้สามารถเอาชนะ MFA ทุกรูปแบบ รวมถึงรหัสผ่านได้ เพราะมันมุ่งเป้าไปที่เลเยอร์การอนุญาต แทนที่จะเป็นขั้นตอนการเข้าสู่ระบบ
การแสวงหาประโยชน์จากห่วงโซ่อุปทาน OAuth
แทนที่จะโจมตีสถาบันโดยตรง ผู้โจมตีจะเจาะระบบโทเค็น OAuth ของผู้ให้บริการ SaaS จากนั้นใช้โทเค็นเหล่านั้นเพื่อเข้าถึงสภาพแวดล้อมปลายทาง นี่คือรูปแบบเดียวกับที่เราเห็นในการรั่วไหลของ Salesloft Drift และดูเหมือนว่าจะเกี่ยวข้องกับกรณีนี้ด้วย
จุดร่วมสำคัญคือ พฤติกรรมหลังการยืนยันตัวตนเป็นสนามรบใหม่ หากเครื่องมือรักษาความปลอดภัยของคุณตรวจจับได้เฉพาะการเข้าสู่ระบบครั้งแรก คุณจะพลาดการเคลื่อนไหวที่เกิดขึ้นหลังจากนั้น
สภาพแวดล้อมทางการศึกษาสมัยใหม่มีการบูรณาการอย่างลึกซึ้ง ตัวอย่างเช่น ระบบ LMS ของคุณอาจเชื่อมต่อกับระบบ CRM ของ Salesforce ซึ่งเชื่อมต่อกับระบบข้อมูลนักเรียนของคุณ และเชื่อมต่อกับผู้ให้บริการยืนยันตัวตนของคุณ การเชื่อมต่อแต่ละครั้งนั้นใช้โทเค็น OAuth, คีย์ API หรือข้อมูลประจำตัวบัญชีบริการ ซึ่งแต่ละอย่างเป็นข้อมูลประจำตัวที่ไม่ใช่บุคคล (NHI) และในสภาพแวดล้อมส่วนใหญ่ ข้อมูลประจำตัวเหล่านั้นมีสิทธิ์เข้าถึงอย่างกว้างขวาง ไม่มี MFA มีการตรวจสอบน้อยมาก และไม่มีใครรับผิดชอบด้านความปลอดภัยอย่างชัดเจน
เมื่อผู้โจมตีสามารถเข้าถึงระบบได้ด้วยข้อมูลประจำตัวที่ถูกต้องแล้ว พวกเขาจะเคลื่อนที่ไปยังส่วนอื่นๆ ของระบบอย่างเงียบๆ และรวดเร็ว กว่าที่ระบบจะแจ้งเตือน พวกเขามักจะอยู่ในระบบมาแล้วหลายวัน
สิ่งที่คุณสามารถทำได้ในตอนนี้เพื่อป้องกันการพยายามโจรกรรมข้อมูลส่วนบุคคลในอนาคต
ตรวจสอบข้อมูลรับรองการผสานรวม SaaS ของคุณ
ผู้ขายรายใดบ้างของคุณที่มีโทเค็น OAuth หรือข้อมูลประจำตัว API ที่สามารถเข้าถึงสภาพแวดล้อม Salesforce, IdP หรือระบบข้อมูลนักเรียนของคุณได้? ข้อมูลเหล่านี้เป็น NHI และควรได้รับการจัดการอย่างเข้มงวดเช่นเดียวกับบัญชีผู้ใช้ที่มีสิทธิ์พิเศษอื่นๆ: กำหนดขอบเขตอย่างรัดกุม ตรวจสอบ และหมุนเวียนการใช้งาน สถาบันส่วนใหญ่ที่เราพูดคุยด้วยไม่ทราบคำตอบที่ครบถ้วนและขาดข้อมูลเชิงลึกเกี่ยวกับการเข้าถึงทั่วทั้งสภาพแวดล้อมของตน นั่นคือสิ่งแรกที่ต้องแก้ไข
รับข้อมูลเชิงลึกเกี่ยวกับบัญชีบริการของคุณ
บัญชีบริการ ในสภาพแวดล้อมแบบ On-premise และ Hybrid ของคุณ บัญชีต่างๆ มีสิทธิ์การเข้าถึงแบบคงที่ ไม่มี MFA และมีการตรวจสอบน้อยมาก เริ่มต้นด้วยการทำความเข้าใจสิ่งที่มีอยู่ในสภาพแวดล้อมของคุณ ไม่ใช่แค่บัญชีที่คุณรู้จัก แต่รวมถึงบัญชีที่ค่อยๆ สะสมสิทธิ์การเข้าถึงมาหลายปีจากการเปลี่ยนแปลงระบบด้วย คุณไม่สามารถปกป้องสิ่งที่คุณมองไม่เห็นได้
บังคับใช้ MFA ทุกที่ โดยเฉพาะในที่ที่ทำได้ยากที่สุด
สถาบันส่วนใหญ่ใช้ MFA (Multi-Factor Authentication) กับแอปพลิเคชันบนคลาวด์และ VPN แต่ผู้โจมตีไม่ได้ใช้ช่องทางหลัก พวกเขาใช้โปรโตคอลแบบเก่า (เช่น NTLM, Kerberos, LDAPS) ที่หลีกเลี่ยงการควบคุมสมัยใหม่ได้อย่างสิ้นเชิง การขยาย MFA ให้ครอบคลุมโปรโตคอลเหล่านี้โดยไม่รบกวนการทำงานถือเป็นหนึ่งในสิ่งที่มีผลกระทบมากที่สุดที่คุณสามารถทำได้
เตรียมรับมือกับการโจมตีแบบฟิชชิ่งโดยใช้ข้อมูลที่ถูกขโมยมา
ลักษณะของข้อมูลที่ถูกขโมยเพิ่มความเสี่ยงอย่างมาก เนื่องจากข้อมูลที่รั่วไหลรวมถึงข้อความส่วนตัวที่อ้างอิงถึงหลักสูตรจริง ชื่อนักเรียน รายละเอียดอาจารย์ และความสัมพันธ์ภายในสถาบัน ผู้โจมตีจึงสามารถสร้างข้อความฟิชชิงที่ปรับแต่งได้สูงโดยอ้างอิงถึงหลักสูตรและการสนทนาจริง การฝึกอบรมเรื่องฟิชชิงแบบทั่วไปไม่เพียงพอ ควรฝึกอบรมผู้ใช้ให้วางเมาส์เหนือลิงก์ ตรวจสอบคำขอผ่านช่องทางอื่น และตรวจสอบการสื่อสารใดๆ ที่อ้างอิงถึงหลักสูตร Canvas โดยเฉพาะอย่างระมัดระวังเป็นพิเศษ นอกจากนี้ ควรตรวจสอบโดเมนฟิชชิงใหม่ๆ ที่ปลอมแปลงตราสินค้า Canvas ด้วย
คู่มือปฏิบัติ
ขยายการใช้งาน MFA ไปทุกที่
วิธีอุดช่องโหว่การตรวจสอบสิทธิ์แบบเดิมและแบบติดตั้งในองค์กร
สังเกตการเคลื่อนไหวในแนวด้านข้างแบบเรียลไทม์
ช่วงเวลาระหว่างการบุกรุกเบื้องต้นกับความเสียหายร้ายแรงมักใช้เวลาเพียงไม่กี่ชั่วโมง การตรวจจับและตอบสนองภัยคุกคามข้อมูลส่วนบุคคล (ITDR) ช่วยให้ศูนย์ปฏิบัติการรักษาความปลอดภัย (SOC) ของคุณมองเห็นพฤติกรรมการตรวจสอบสิทธิ์ที่ผิดปกติ เช่น เวลาการเข้าถึงที่ไม่ปกติ ความไม่ตรงกันของโปรโตคอล บัญชีผู้ใช้ที่เข้าถึงระบบที่ไม่เคยเข้าถึงมาก่อน เพื่อให้คุณสามารถ... ลงมือทำก่อนที่รัศมีของการระเบิดจะขยายวงกว้าง.
พิจารณาข้อผูกพันด้านกฎระเบียบของคุณ
นอกเหนือจากการตอบสนองทางเทคนิคแล้ว สถาบันที่ได้รับผลกระทบยังต้องเผชิญกับข้อกำหนดด้านการปฏิบัติตามกฎระเบียบที่สำคัญ เนื่องจาก Canvas ให้บริการแก่เขตการศึกษาตั้งแต่ระดับอนุบาลถึงมัธยมศึกษาตอนปลาย วิทยาลัย มหาวิทยาลัย และกระทรวงศึกษาธิการ การละเมิดข้อมูลครั้งนี้จึงส่งผลกระทบต่อ:
- FERPA (Family Educational Rights and Privacy Act): ทำให้ภาระการแจ้งเตือนตกอยู่กับสถาบัน ไม่ใช่ผู้ขาย
- COPPA (กฎหมายคุ้มครองความเป็นส่วนตัวของเด็กทางออนไลน์): เกี่ยวข้องกับเขตการศึกษาตั้งแต่ระดับอนุบาลถึงมัธยมศึกษาตอนปลายที่จัดการข้อมูลเกี่ยวกับผู้เยาว์
- กฎหมายคุ้มครองความเป็นส่วนตัวของนักเรียนระดับรัฐประมาณ 130 ฉบับ โดยมีระยะเวลาและข้อกำหนดในการแจ้งเตือนที่แตกต่างกันไป
สถาบันที่ตอบสนองล่าช้าอาจไม่เพียงแต่เสียชื่อเสียง แต่ยังอาจได้รับผลกระทบทางกฎหมายและข้อบังคับต่างๆ อีกด้วย ขณะนี้มีการสอบสวนคดีฟ้องร้องแบบกลุ่มต่อ Instructure อยู่แล้ว ซึ่งหมายความว่าสถาบันของคุณก็อาจเผชิญกับการฟ้องร้องเช่นกัน ปรึกษาทีมกฎหมายของคุณตอนนี้เกี่ยวกับข้อกำหนดในการแจ้งและภาระผูกพันด้านเอกสาร
สิ่งที่ควรพิจารณาต่อไป: การลดพื้นที่เสี่ยงต่อการถูกโจมตีทางด้านข้อมูลส่วนบุคคล
เมื่อคุณจัดการกับช่องโหว่ที่เร่งด่วนที่สุดแล้ว งานระยะยาวคือการลดพื้นที่เสี่ยงต่อการโจมตีด้านข้อมูลส่วนบุคคลอย่างเป็นระบบ ซึ่งมีสองความสามารถที่สำคัญในที่นี้
การจัดการท่าทางการรักษาความปลอดภัยของข้อมูลประจำตัว (ISPM) เครื่องมือนี้ช่วยเปิดเผยความเสี่ยงที่สะสมมานานหลายปี เช่น บัญชีที่ไม่ได้ใช้งานแล้ว นโยบาย MFA ที่ตั้งค่าไม่ถูกต้อง การใช้งานโปรโตคอลแบบเก่า บัญชีบริการที่มีสิทธิ์มากเกินไป ทำให้ทีมของคุณมองเห็นภาพรวมอย่างต่อเนื่องและจัดลำดับความสำคัญว่าควรแก้ไขอะไรและควรแก้ไขในลำดับใด นั่นคือความแตกต่างระหว่างการตอบสนองต่อการละเมิดและการลดเงื่อนไขที่ทำให้เกิดการละเมิดขึ้นได้
เข้าถึงข่าวกรอง เครื่องมือนี้ไปไกลกว่านั้นด้วยการทำแผนที่เส้นทางการเข้าถึงทั้งหมดทั่วทั้งสภาพแวดล้อมของคุณ เผยให้เห็นการกระจายตัวของสิทธิ์ สิทธิ์ที่ไม่ได้ใช้งาน และเส้นทางที่ซ่อนอยู่ซึ่งเครื่องมือ IAM แบบดั้งเดิมมองข้ามไป สำหรับสภาพแวดล้อมทางการศึกษาที่มีสิทธิ์การเข้าถึงสะสมมานานหลายปีในหมู่เจ้าหน้าที่ คณาจารย์ และระบบที่บูรณาการหลายสิบระบบ การมองเห็นภาพรวมนี้เองที่ทำให้หลักการสิทธิ์ขั้นต่ำสุด (Least Privilege) เป็นสิ่งที่ใช้งานได้จริงมากกว่าเป็นเพียงทฤษฎี
สถาบันที่สร้างระเบียบวินัยด้านท่าทีเช่นนี้ คือสถาบันที่จะไม่ตกเป็นข่าวพาดหัวในครั้งต่อไปที่ผู้ให้บริการถูกโจมตี
หมายเหตุเกี่ยวกับอะไร Silverfort ได้เห็น
Silverfort ทำงานร่วมกับสถาบันต่างๆ รวมถึง วิทยาลัยเพมโบรก, เคมบริดจ์ และ มหาวิทยาลัยแปซิฟิก เราได้สร้างและดำเนินการสิ่งต่างๆ ที่เกี่ยวข้องกับความท้าทายเหล่านี้โดยเฉพาะ คู่มือรับมือเหตุการณ์การระบุตัวตน ในการแข่งขันกับ ShinyHunters และ Scattered Spider แบบเรียลไทม์... ไม่ใช่ในเชิงทฤษฎี แต่เกิดขึ้นจริงในระหว่างการแข่งขัน คล่องแคล่ว การโจมตี
หากคุณสงสัยว่าสถาบันของคุณอยู่ในสถานะใด มาพูดคุยกันเถอะ จองคิวพูดคุยกับทีมงานของเราได้เลยวันนี้.
ต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของข้อมูลส่วนบุคคลสำหรับภาคการศึกษาหรือไม่?
อ่านกรณีศึกษาและเรียนรู้วิธีการ Silverfort ช่วยปกป้องทุกมิติของอัตลักษณ์ของคุณ
