学習管理システム(LMS)最大手のInstructureが運営するCanvasが、ランサムウェアグループ「ShinyHunters」によって再度侵害された。約330の大学・高等教育機関のCanvasログインポータルが改ざんされ、「要求に応じなければ学生・教職員データを公開する」という脅迫メッセージが表示された。期限は2026年5月12日。この事件は、教育機関が標的にされるサイバー攻撃の深刻化と、SaaSプラットフォームのセキュリティモデルそのものへの根本的な問い直しを迫るものだ。

何が起きたか

先週、ShinyHuntersはInstructureから8,809校に紐付く学生・スタッフの2.8億件超のレコードを窃取したと主張した。盗まれたデータには、ユーザー情報・プライベートメッセージ・履修データなどが含まれるとされる。Instructureはデータ流出自体は認めつつも、詳細調査を継続中としていた。

その翌週——今回の事件だ。ShinyHuntersは「Instructureが無視して『セキュリティパッチ』だけ当ててきた」と主張し、報復として約330機関のログイン画面を30分間にわたって改ざん。モバイルアプリにも同じメッセージが表示されたという。Instructureはその後Canvasをオフラインに落として対応している。

ShinyHuntersとはどういう集団か

2018年から活動しているShinyHuntersは、特定の単一グループというよりも、同名を掲げる複数の脅威アクターが緩やかに連携した形態をとっている。近年の手口の特徴は以下の通りだ。

  • SaaS環境への直接攻撃: SalesforceをはじめとするクラウドSaaS環境を主なターゲットとし、盗んだ認証トークンで接続先サービスへ横移動する
  • サードパーティ経由の侵入: 直接ターゲットを狙うのではなく、連携している外部サービス・インテグレーション企業を踏み台にする
  • ビッシング(音声フィッシング): OktaやMicrosoftのSSO担当を装い、従業員からMFAコードを騙し取る手口も確認されている
  • デバイスコードフィッシング: BleepingComputerが報じたように、Microsoft Entraの認証トークンをデバイスコードフロー経由で奪取する新手法も採用している

最後の点は特に注意が必要だ。Entraを認証基盤として使っている組織では、一見正規の認証フローを悪用されるリスクがある。

実務への影響——日本の教育機関・IT管理者に問いかけるもの

Canvasは日本国内でも複数の大学が採用している。今回の直接被害が国内に及んだかどうかは現時点で不明だが、「うちはまだ被害を受けていない」という認識は危険だ。この事件から引き出せる実務上の教訓は以下の通りだ。

  1. SaaSのログイン改ざんは「侵害の結果」ではなく「侵害の証拠」 今回の改ざんは脅迫のための示威行為だったが、それ以前にInstructure内部へのアクセス権を取得済みだったということを意味する。ログイン画面が正常に見えていても、バックエンドで何が起きているかは別問題だ。

2. MFAを突破される前提で考える ShinyHuntersはMFAコードをソーシャルエンジニアリングで奪取する。「MFAを入れているから安全」という認識はすでに通用しない。フィッシング耐性のある認証(FIDO2/パスキー)への移行が現実的な次のステップだ。

3. テナント連携・API連携の棚卸しを今すぐ ShinyHuntersの典型的な手口はサードパーティ連携経由の横移動だ。自組織のSaaSにどのサービスが接続されているか、OAuth連携の認可スコープが適切かを定期的に確認する必要がある。特にCanvasのようなLMSはAPIが豊富で、設定次第では大量データをエクスポートできる。

4. デバイスコードフローは制限できる Microsoft Entra(旧Azure AD)を使っている組織であれば、条件付きアクセスポリシーでデバイスコードフローを制限・監視することが可能だ。ShinyHuntersが採用している手口への直接的な対策として有効だ。

筆者の見解

今回の事件でもっとも気になるのは、Instructureの対応の鈍さだ。初回侵害から約一週間、複数のメディアからの問い合わせに無回答のまま今回の改ざんを迎えた。「調査中」のフェーズであっても、影響を受けた機関への情報提供や暫定的なミティゲーション手順の共有くらいは動けたはずだ。

とはいえ、これを対岸の火事として眺めるだけではもったいない。SaaS依存が進んだ現代のIT環境で「プラットフォームベンダーのセキュリティに依存しきる」ことのリスクが、今回ほどはっきり可視化された事例もそうはない。

ゼロトラストの考え方は「内側は安全」という前提を捨てることから始まる。SaaSが侵害されても被害が最小化されるよう、アクセス権は最小限に・常時付与ではなくJust-In-Time(JIT)で・ログは中央で監視する——この3原則を、プラットフォームのセキュリティ体制を問わず自組織側で徹底することが、今の時代の現実的な身の守り方だ。

教育機関のデータには、成人になる前の学生の個人情報が大量に含まれている。影響を受けた学生に「あなたのデータが漏れたかもしれない」と伝える責任を果たせるかどうか——それがベンダー選定の本当の基準になる日が、もうそこまで来ている。

出典: この記事は Canvas login portals hacked in mass ShinyHunters extortion campaign の内容をもとに、筆者の見解を加えて独自に執筆したものです。