世界9,000校が標的に — ShinyHuntersが教育LMS「Canvas」から2億件超のデータを盗んだ手口

本当だよ。2026年5月、「ShinyHunters」というハッカーグループが世界9,000校以上で使われている学習管理システム「Canvas」に侵入して、2億7,500万件ものデータを盗み出したんだ。史上最大規模の教育分野へのサイバー攻撃だよ。

Canvasは「学習管理システム（LMS）」と呼ばれるサービスで、授業の資料配布・課題提出・成績確認・先生とのメッセージができる大学向けポータルみたいなものだよ。Instructureという会社が運営していて、アメリカの大学の4割以上が使っているんだ。

盗まれたのは名前・メールアドレス・学生ID、それから先生と学生の間のプライベートなメッセージだよ。パスワードや生年月日、金融情報は盗まれなかったけど、それでも深刻な個人情報漏洩だね。データ量は3.65テラバイトにも上ったんだ。

入口は「Free-For-Teacher」という、教員なら機関の審査なしで無料登録できるプログラムだったんだ。問題は、このアカウントが有料機関の本番インフラと同じ環境につながっていたこと。テナント間のセキュリティ境界に脆弱性があったんだよ。

10代〜20代前半の若者を中心とした緩やかなネットワークだよ。フィッシングやソーシャルエンジニアリングを使って認証情報を入手するのが得意で、データを盗んだ後は「身代金を払わなければ公開する」と脅す手口が特徴なんだ。2020年頃から活動していて過去にも多くの企業を標的にしているよ。

5月初旬の期末試験シーズン中だったから影響が特に大きかったんだ。Instructureは5月7日にCanvasをオフラインにして対応したけど、学生たちは大切な試験準備の時期にシステムが使えなくなってしまった。翌8日にはサービスを再開して、Free-For-Teacherプログラムは永久廃止になったよ。

本当だよ。ペンシルバニア大学・ハーバード大学・デューク大学など、アメリカ中の有名大学が影響を受けた。カナダ・イギリス・オーストラリアにも広がって、今回は本当に国際的な規模の事件になったんだ。一部の大学は他のLMSへの移行を検討し始めているよ。

大きな教訓は2つあるよ。1つ目は「便利さとセキュリティはトレードオフ」ということ。無審査で使える便利な機能が攻撃の入口になった。2つ目は「メール漏洩 = フィッシングリスク」ということ。漏れたメールアドレスは詐欺メールに使われる可能性があるから、Canvas関連を装ったメールには特に注意が必要だよ。