概要
2026年4月〜5月、世界最大級のLMS(学習管理システム)を運営する米国企業Instructure(Canvas)が、恐喝グループ「ShinyHunters」に2度にわたって侵害された。ShinyHuntersは8,809校・大学・教育プラットフォームにわたる2.75億人分のユーザーデータ3.65TBを窃取したと主張し、「支払わなければ公開する」と脅迫した。
同グループは5月7日にCanvasのログインページを改ざんしてランサムウェアメッセージを表示させ、Instructureが「事態は収束した」と発表した翌日に2度目の侵害を実行するという強硬な姿勢を見せた。漏洩データには氏名・メールアドレス・学籍番号・ユーザー間のメッセージが含まれるが、パスワード・生年月日・政府発行IDや金融情報の流出は確認されていないとInstructureは述べている。
何が起きたのか
攻撃の経緯
| 日付 | 出来事 |
|---|---|
| 2026年4月25日 | ShinyHuntersがCanvasシステムへの不正アクセスを開始 |
| 2026年4月29日 | Instructureが侵害を検知、不正アクセスを遮断、外部フォレンジクスチームを起用 |
| 2026年5月5日頃 | ShinyHuntersが「支払え、さもなくば公開する」とInstructureに通告 |
| 2026年5月6日 | Instructureが「状況は解決した」と発表 |
| 2026年5月7日 | ShinyHuntersがCanvasのログインページを改ざん、ランサムウェアメッセージを表示。2度目の侵害が判明 |
| 2026年5月12日頃 | InstructureがBleepingComputerの取材に対し、データ侵害を正式に認める |
ShinyHuntersとは
ShinyHuntersは2020年頃から活動する著名なサイバー犯罪グループで、AT&T・Ticketmaster・Santander銀行など多数の大企業を侵害してきた実績を持つ。2026年にはFoxconn侵害(Nitrogenとの関連が指摘される)、Carnival Corporation(クルーズ船会社、約600万人)、Charter Communications(米大手ISP、4,000万件超)へも攻撃を行っており、同グループの活動が急拡大している。
技術的なポイント
LMSが狙われる理由
CanvasのようなLMS(Learning Management System)は、学生・教員・職員の個人情報を一元管理する教育機関のコアインフラである。1つのプラットフォームに数千〜数百万人分のデータが集中しているため、侵害された場合の被害規模が極めて大きくなる。教育機関はセキュリティ投資が少なく、古いインフラを使い続けているケースが多いことも狙われやすい背景にある。
「修正済み」発表後の2度目の侵害
Instructureが「侵害は解決した」と発表した翌日に再侵害が起きた事実は、インシデントレスポンスの根本的な課題を示している。初動で攻撃者が設置したバックドアやピボット経路の完全除去ができていなかった可能性が高い。また、最初の侵害で奪われた認証情報が再利用されたか、パッチが不完全だった可能性もある。
恐喝型攻撃の変化
ShinyHuntersのアプローチは従来の「暗号化して復号鍵を売る」ランサムウェアとは異なる。ファイルは暗号化せず、データを盗んで「公開するぞ」と脅す純粋な恐喝モデル(データ漏洩脅迫型)である。これは教育機関や医療機関のように「暗号化されるとシステムが止まる」よりも「個人情報が流出する」方が社会的ダメージが大きい組織に特に有効な手口である。
メッセージング機能に含まれるデータ
Instructureが流出を認めた項目に「ユーザー間のメッセージ」が含まれている点は見落とされがちだが、深刻である。LMSのメッセージ機能には、教員と学生のやりとり、成績に関する議論、進路相談など、センシティブな内容が残っている場合が多い。氏名とメールアドレスの組み合わせだけでも、フィッシングやスピアフィッシングに悪用される十分な素材となる。
企業・組織が学ぶべきポイント
- 「侵害は収束した」の発表は慎重に: 攻撃者が完全に排除されたことを確認する前に「解決」を宣言すると、今回のように翌日に再侵害が起きるリスクがある。フォレンジクス調査完了・全アクセス経路の遮断確認・パスワードリセット完了後に初めて収束宣言を行うべきである。
- SSOと多要素認証の強制適用: 教育機関ではシステムが多数あり、認証が分散しがちである。SSOでID管理を一元化し、フィッシング耐性のあるMFA(Passkey/FIDO2)を全ユーザーに強制することで、奪われた認証情報の再利用を防ぐ。
- データの分類・分散保管: 2.75億人分のデータが1つのプラットフォームに集中していたことが被害規模を大きくした。特に機密性の高いデータ(成績・健康情報・財務情報)はシステムを分けて保管し、侵害の影響を局所化する設計が重要である。
- サードパーティのSaaSにもインシデント対応計画を: 自社開発ではなくSaaSを使っていても、データは自組織のものである。ベンダーが侵害された場合の連絡体制・通知義務・代替手段を事前に取り決めておく必要がある。
影響範囲
| 対象 | 影響 |
|---|---|
| Canvasを利用する8,809校・大学・教育機関 | 氏名・メール・学籍番号・メッセージ履歴の流出 |
| 影響を受けた学生・教員・職員(推定2.75億人) | フィッシング・なりすまし攻撃のリスク増大 |
| 教育テクノロジー業界全体 | LMSベンダーへのセキュリティ要件強化圧力が高まる |
参考情報
- BleepingComputer: Instructure confirms data breach, ShinyHunters claims attack (2026/05)
- Dark Reading: ShinyHunters Claims Second Attack Against Instructure
- The Register: Double Canvas intrusion confirmed as ShinyHunters resets leak deadline (2026/05/12)
- Malwarebytes: Millions of students' personal data stolen in major education cyberattack (2026/05)
- KrebsOnSecurity: Canvas Breach Disrupts Schools & Colleges Nationwide (2026/05)
フィッシングへの悪用については QRフィッシング(Quishing)、セッションハイジャックの仕組みは インフォスティーラー&セッションハイジャック も合わせてご覧ください。