米国の学習管理システム最大手「Canvas」が期末試験シーズンの真っ只中にサイバー攻撃で停止し、米国各地の大学・学校で試験延期や混乱が広がりました。攻撃を主張するランサムウェアグループは、8,800校・2億7,500万人分のデータを取得したと述べています。
期末試験当日にログイン画面が「身代金要求」に
Ars Technicaの報道によれば、Canvasを運営するInstructureは2026年5月7日(木曜日)にネットワーク内で不正な活動を検知し、Canvasを一時的にオフラインにしました。翌金曜日の朝までにプラットフォームは復旧しています。
問題は停止のタイミングでした。米国の多くの大学が期末試験を実施しようとしていたまさにそのとき、学生たちがCanvasにアクセスすると、ログインページに身代金要求のメッセージが表示されたと報じられています。要求文には、Instructureが攻撃グループの先の要求を拒否したこと、そして個別の学校に直接交渉するよう促す内容が記されていたとされています。
その結果、各校は対応に追われました。
- イリノイ大学は、金曜・土曜・日曜に予定されていた期末試験と課題をすべて延期したと報じられています
- マサチューセッツ大学ダートマス校は試験の再スケジュールや提出期限の延長を実施
- カリフォルニア大学システムは全キャンパスに対応指示を出しました
ShinyHuntersが2.75億人分・8,800校のデータ流出を主張
攻撃の犯行声明を出したのは、ランサムウェアグループ「ShinyHunters」です。同グループはダークウェブ上のリークサイトで、8,800校に関連する2億7,500万人分のデータを取得したと主張しています。ただしこの数字はあくまで攻撃者側の主張であり、独立した検証はなされていません。
Instructureは1週間前にデータ侵害を公表しており、今回の攻撃の実行者は同じ脅威アクターだと説明しています。アクセスされたデータには以下が含まれます。
| 流出が確認された情報 | 流出していないとされる情報 |
|---|---|
| ユーザー名 | パスワード |
| メールアドレス | 生年月日 |
| 学生ID番号 | 政府発行の身分証明番号 |
| プラットフォーム上でやり取りされたメッセージ | 金融情報 |
Instructureは、パスワード・生年月日・政府発行の識別子・金融情報が流出した形跡は確認されていないとしています。
教育プラットフォームを狙う攻撃の流れ
学習プラットフォームを標的とする大規模侵害は今回が初めてではありません。2025年には、世界の16,000のK–12学校・6,000万人の生徒に向けてクラウドベースのソフトウェアを提供するPowerSchoolが侵害を公表し、氏名・住所・懲戒記録など長年にわたる機微情報が流出したと報じられました。
ShinyHuntersはゆるやかな集団として長年活動しており、2024年にはクラウドストレージ事業者Snowflakeから認証情報などを取得し、それを足がかりにTicketMasterをはじめとするSnowflake顧客企業への二次的な侵害を引き起こしたグループとしても知られています。教育機関は機微情報を大量に保有する一方、セキュリティ予算や人材が限られるケースが多く、今回のように外部のSaaS基盤が落ちると即座に業務停止に直結する構造的な脆さが改めて浮き彫りになった形です。
Canvasや類似のLMSを利用している教育機関・学習者は、現時点ではパスワードリセットの強制対象にはなっていないものの、メールアドレスや学生IDが流出した可能性を踏まえ、フィッシングメールへの警戒を強めるのが妥当な対応と言えるでしょう。
Q&A
Q. 流出したデータにパスワードや金融情報は含まれますか? Instructureは、パスワード・生年月日・政府発行の身分証明番号・金融情報が関与した形跡はないと説明しています。確認されているのはユーザー名、メールアドレス、学生ID番号、プラットフォーム上のメッセージです。
Q. ShinyHuntersが主張する2億7,500万人・8,800校という数字は正確ですか? これは攻撃グループ自身がダークウェブ上で主張している数字であり、Instructureや第三者による独立した検証は行われていません。攻撃者の主張は誇張されることもあるため、確定情報として扱うべきではありません。
Q. Canvasは現在使えますか? Instructureによれば、5月8日(金曜日)朝の時点でCanvasはオンラインに復旧しています。ただし試験スケジュールは各大学が独自に調整しているため、所属校の案内を確認する必要があります。
