学習管理システム(LMS)「Canvas」を運営するInstructureが、犯罪グループ「ShinyHunters」による一週間以内の二度の侵害を受け、2億8千万件以上の学生・教職員データが流出した。米下院国土安全保障委員会はCEOのSteve Daly氏に議会証言を要求しており、米国教育インフラへのサイバー攻撃として異例の規模に発展している。
何が起きたか
2026年4月29日、InstructureはCanvasへの不正アクセスを検知。流出したデータには学生・教職員の氏名、メールアドレス、学籍番号、および学生と教師間のメッセージが含まれる。パスワードや金融情報、政府発行の識別番号は含まれていないとされている。
5月3日、ShinyHuntersがBleepingComputerへの声明で犯行を認め、「8,809の大学・学区・オンライン教育プラットフォームから2億8千万件のデータレコードを窃取した」と主張した。
二度目の攻撃:XSSで管理者セッションを奪取しログイン画面を改ざん
グループは同週内に二度目の攻撃を敢行。クロスサイトスクリプティング(XSS)脆弱性を悪用して管理者の認証済みセッションを乗っ取り、全米の大学・学校のCanvasログインポータルを改ざんして「Instructureと交渉しろ」という恐喝メッセージを表示させた。
カリフォルニア、フロリダ、テキサス(サンアントニオ大学など)、ジョージア、ネバダ、ウィスコンシンほか計11州で被害が確認されており、期末試験・学期末の最中に試験が中止に追い込まれた教育機関も複数報告された。
身代金交渉の顛末
その後ShinyHuntersは突如InstructureをデータリークサイトからDelete。同社は「グループとの合意に達し、流出データの公開停止と削除を確約された」と発表した。身代金の支払いについては明言を避けているが、同種の事例では合意の裏に何らかの対価が存在するのが通例だ。ShinyHuntersはその後「データは消去済み。各教育機関が個別に交渉に来る必要はない」との声明をサイトに掲載している。
実務への影響——日本の教育機関・IT管理者が今すぐ確認すべきこと
今回の攻撃ベクターであるXSSは古くから知られた脆弱性だが、管理者セッション奪取という形で依然として高い破壊力を持つ。Canvas以外のLMS(Moodle、Blackboard、Google Classroomなど)を使用している組織でも、以下を優先的に確認してほしい。
- Content Security Policy(CSP)の設定: XSS攻撃の影響範囲を限定する最も即効性のある対策
- 管理者セッション管理の見直し: 有効期限の短縮、MFA適用状況、IPバインディングの検討
- サードパーティ統合の棚卸し: LMSに連携している外部サービスの権限スコープを定期的にレビューする
- 試験期間中のインシデント対応計画: 「試験中にシステムが使えなくなった場合」のフォールバックを実際に訓練しているか確認する
また、身代金交渉については日本でも判断を迫られるケースが増えている。「支払いが成立した事例」として犯罪グループ側に記録されることのリスクも踏まえた上で、あらかじめ組織としての方針を定めておくことが不可欠だ。
筆者の見解
今回の侵害で改めて浮き彫りになったのは、「古典的な脆弱性が今なお最前線で使われている」という現実だ。XSSは20年以上前から文書化された攻撃手法であり、対策もよく知られている。それでも管理者セッション奪取に使えてしまったという事実は重い。
特権アカウントへの「常時アクセス権の付与」こそが今回の被害を拡大させた根本要因の一つだ。管理者セッションがアクティブでなければ、XSSで奪取できるものもない。Just-In-TimeのアクセスとゼロトラストモデルはLMSのような広域SaaSにこそ適用すべき構造的な解であり、今回の事件はその必要性を再証明した形になった。
全国規模の教育インフラを単一のSaaSプラットフォームに集約することのリスクも、今後の調達判断に組み込む必要がある。ベンダーのインシデント対応能力とディスクロージャーポリシーは、機能比較と同等の評価軸になりつつある。期末試験というタイミングを狙った攻撃は、計算づくの戦略だ。防御側も「最も痛い時期を狙われる」前提でBCP・DRPを組み立てる時代になった。
出典: この記事は US govt seeks Instructure testimony on massive Canvas cyberattack の内容をもとに、筆者の見解を加えて独自に執筆したものです。