世界の技術ニュースをリアルタイムでキャッチし、日本語でわかりやすく発信。AI・半導体・スタートアップから規制動向まで、グローバルテックシーンの「今」をお届けします。

ShinyHuntersの脅しで学校データ流出危機、Canvasは復旧へ

キーポイント

学習管理プラットフォーム Canvas が、一時的にダウンした。
背景には、ハッカー集団 ShinyHunters によるとみられるデータ侵害がある。
侵害された可能性がある情報には、学生名、メールアドレス、ID番号、メッセージなどが含まれる。
Instructureは、一部の画面を書き換えられたことを確認し、被害拡大を防ぐためにCanvasを一時停止した。
影響を受けたのは、InstructureのFree-For-Teacher accounts関連の問題だったとされる。
Canvasは現在、ほとんどのユーザーで再開しているが、一部機能はまだ調整中。

何が起きたのか

学習支援サービス Canvas が、ハッキング集団 ShinyHunters によるデータ漏えいの脅しを受けたあと、一時的にオフラインになりました。Canvasは、学校や大学で宿題の提出、課題の配布、成績確認などに使われる「授業用のオンライン教室」みたいなものです。学校生活に深く入り込んでいるサービスなので、止まるとかなり困る。記事の見出しにある Homework may have to wait は、まさにその状況をうまく表しています。

今回の件でInstructureは、システムの一部を守るためにCanvasを停止し、その後、ほとんどのユーザー向けに復旧させたと発表しました。こういうときの判断は難しいですが、外から見ると「止めるのは不便だな」と思っても、情報漏えいの可能性があるならいったん止めるのが筋だと思います。被害拡大を防ぐには、それがいちばん現実的です。

ShinyHuntersの脅し文句がかなり露骨

今回、Canvasにアクセスしようとした学生の画面には、ShinyHuntersを名乗るメッセージが表示されていたといいます。その内容はかなり直接的で、要するに「こちらはInstructureを侵害した。黙っていたが、相手は対応せず“security patches”を入れた。データを公開されたくなければ、サイバーアドバイザリー会社に相談して、私たちに秘密裏に連絡してこい。期限は5月12日まで」というものです。

ここで使われている security patches は、簡単に言うと「セキュリティ上の弱点をふさぐ修正プログラム」のことです。つまりInstructure側が守りを固めたので、攻撃側が焦って圧をかけた、という構図にも見えます。
もちろん、これはハッカー側の主張なので、そのまま鵜呑みにはできません。ただ、画面を書き換えられた事実やサービス停止が起きていることを考えると、かなり深刻な侵害があったのは間違いなさそうです。

どんな情報が影響を受けたのか

The Vergeによると、今回の侵害では次のような情報が含まれていた可能性があります。

学生の名前
メールアドレス
ID番号
メッセージ

さらにShinyHuntersは、Canvas経由で侵害したとする学校の一覧を持っているとも主張しています。Bleeping Computerの報道では、そのデータ漏えいサイトには9,000校が含まれ、2億7500万人分の学生、教師、スタッフの情報があるとされています。

この数字が事実なら、かなりとんでもない規模です。個人的には、こういう事件で怖いのは「パスワードが漏れたかどうか」だけではなく、メールアドレスやID番号、メッセージのような“地味だけど使い道が多い情報”が積み上がることだと思います。詐欺メール、なりすまし、標的型攻撃の材料になりやすいからです。

Instructureはどう対応したのか

InstructureはThe Vergeへの声明で、不正な攻撃者が進行中のセキュリティインシデントの一部として、学生や教師がログインしたときに表示されるページを改変したと説明しています。そのため、アクセスの遮断と調査のためにCanvasを一時停止した、という流れです。

また、同社は次の点も明らかにしました。

攻撃者は Free-For-Teacher accounts に関連する問題を悪用した
その結果、Free-For-Teacher accounts を一時停止した
Canvasの Beta と Test システムはまだメンテナンス中
一部ユーザーは Student ePortfolios にログインしづらい状態がある

ここで出てくる Free-For-Teacher accounts は、先生向けに無料で使えるアカウントだと考えるとわかりやすいです。こうした“無料枠”や“試用枠”は便利な反面、本番運用のアカウントとは別の管理が必要になりやすく、攻撃者に狙われると面倒です。
技術サービスの世界では、こういう「一見すると本筋じゃなさそうな入口」が、実は本番への抜け道になっていることがよくあります。地味ですが、セキュリティではかなり重要なポイントです。

何が面白く、何が重要なのか

今回の件で面白いのは、攻撃者が単にデータを盗んだだけでなく、利用中の画面そのものを改ざんして脅しをかけたことです。これはユーザーの目に直接入るので、インパクトが大きい。学校の先生や学生からすると、ある日いきなりいつものCanvasに脅迫文が出るわけで、かなり不気味だったはずです。

重要なのは、教育プラットフォームがもはや「学校内のシステム」ではなく、巨大な個人情報の集積地になっている点です。宿題や成績だけでなく、連絡先やID、やり取りの内容まで入っている。だから1回の侵害が、単なるITトラブルでは済まなくなっています。
正直、こういう教育系SaaSの事故はもっと注目されてもいいと思います。派手さはないけれど、影響を受ける人数がとんでもなく大きいからです。

いま分かっていること

Instructureは、先週すでに「セキュリティを強化するパッチを配布した」と述べていました。今回の復旧後も、Canvas BetaやCanvas Testはまだメンテナンスモードのままで、Free-For-Teacher accounts の再開時期は明言されていません。

つまり、サービスは戻ってきたものの、完全に落ち着いたわけではない、というのが現状です。こういうケースでは、表向きの復旧よりも、そのあとに残る調査や再発防止のほうがむしろ本番です。
個人的には、今後Instructureが「どこから侵入されたのか」「どこまで影響したのか」「学校側が何を確認すべきか」をどれだけわかりやすく説明できるかが、信頼回復のカギになると思います。

参考: Canvas is online again after ShinyHunters threaten to leak schools’ data

同じ著者の記事

Gemini API File Searchがマルチモーダル対応に。RAGをもっと実用的にするGoogleの新アップデート

Googleが、Gemini APIのFile Searchツールを大きくアップデートしました。今回のポイントは、ざっくり言うと「テキストだけでなく画像もまとめて検索できるようになった」こと、そして「検索の根拠をページ単位で示しやすくなった」ことです。これ、地味に見えてかなり重要です。RAG（検索拡張生成）を実際にアプリへ入れようとすると、「欲しい情報がうまく見つからない」「どの資料のどこを根拠に答えたのか説明しにくい」といった壁にぶつかりがちなんですよね。Googleはそこを、かなり実務寄りに改善してきた印象です。 File Searchがmultimodal対応 テキストだけでなく、画像も一緒に扱えるようになった custom metadataに対応 ファイルに `department: Legal` のようなラベルを付けて、整理・絞り込みしやすくなる page-level citationsを追加 どのページを根拠に答えたかを示しやすくなり、透明性が上がる RAGをより「実用」寄りに改善 プロトタイプだけでなく、業務アプリ