【アメリカ】学習基盤Canvasに2度の侵入、約8800校が被害。日本大学も使う共通基盤の弱点

📝 学習基盤Canvasが2度侵入され、米8,800校で授業停止とデータ流出

Canvasは米Instructureが提供する学習管理システム（LMS）で、同社は世界で3,000万人を超える人が使うとしている。その共通基盤が、5月の2週間に2度破られた。最初の侵入をInstructureが検知したのは4月29日。攻撃を名乗ったのは恐喝集団ShinyHuntersで、約8,800校から約3.6TB分のデータを抜いたと主張した。盗まれたとされるのは利用者名・メールアドレス・履修科目名・登録情報・メッセージで、影響範囲は最大で学生・教員・職員2億7,500万人に及ぶという。

5月7日には同じ経路から再び侵入された。攻撃側は数百校のログイン画面に身代金要求のJavaScriptを直接埋め込み、Instructureはプラットフォームを約1日止めざるをえなくなった。停止が当たったのは、ちょうど多くの学校が期末試験を実施している時期である。授業や課題提出が、いきなり使えなくなった。

📰 The Register報道：「Free-for-Teacher」のXSS欠陥が管理者権限への入口だった

元ネタ：Congress investigates Canvas breach as company pays ransom（The Register / 2026年5月12日）

“With students at more than 8,000 institutions navigating final examinations and end of semester deadlines, the disruption of a platform that Instructure itself describes as serving more than 30 million active users globally is a matter of national concern.”

英メディアThe Registerによれば、ShinyHuntersが突いたのはCanvasの「Free-for-Teacher」（教員が無料で使える機能）に潜む欠陥だった。Webページに不正なコードを紛れ込ませる、XSS（クロスサイトスクリプティング）と呼ばれる種類のものだ。この欠陥を介して攻撃側は管理者権限を取得し、本来は触れないはずの領域に手が届いた。気になるのは、2度目の侵入が1度目とまったく同じ欠陥を使っていた点だ。最初の被害から再侵入までの間、入口はふさがれていなかったことになる。

ShinyHuntersにとってInstructureは初めての標的ではない。2025年9月にも同社のSalesforce環境に侵入しており、1年たたずに2度、同じ集団に破られた計算になる。

🔥 9千校は交渉に参加できず、Instructure1社が身代金を一括処理した

Instructureは5月11日、ShinyHuntersと「合意に達した」と公表した。攻撃側がデータを流出させると予告した期限の前日である。同社は身代金の額を明らかにしていないが、「データ破棄のデジタル証明（削除ログ）を受け取った」「この件で顧客が公にも非公にも恐喝されることはないと伝えられている」と説明した。合意は影響を受けた全顧客を対象とし、学校ごとに個別交渉する必要はないという。

一見すると、8,800校が各自で犯罪集団と渡り合わずに済むのは合理的に見える。だが裏を返せば、9千校近い学校の生徒データの行方を、ベンダー1社が犯罪集団との取引で決めたということでもある。学校はその交渉のテーブルにいなかった。共通プラットフォームの便利さは、有事には「窓口の一本化」という形で跳ね返ってくる。守りも交渉も、導入校の手を離れる。

🏛️ 米議会がCEOを召喚——「削除した」を検証する手段がない

この一括処理に、米議会が反応した。下院国土安全保障委員会のアンドリュー・ガルバリーノ委員長は5月11日付の書簡でInstructureのスティーブ・デイリーCEO（最高経営責任者）に説明を求め、上院の保健・教育・労働・年金委員会も調査に入った。試験期間中の3,000万人規模のサービス停止は「国家的な懸念」だ、というのが議会の見立てである。

議会が問題視するのは規模だけではない。Instructureは「削除ログを受け取った」と言うが、ShinyHuntersに約束を守らせる法的な仕組みはなく、コピーが本当に消えたと第三者が確かめたわけでもない。支払った身代金が次の攻撃の資金になるという批判も、以前から根強い。1年たたずに同じ集団へ2度入られた事実と合わせると、「払って終わり」では構造的な穴はふさがっていない。

🇯🇵 日本のCanvas導入校への波及条件：日本大学も同じベンダー依存を引き受ける

Canvasは日本でも使われている。2026年には日本大学が全学での導入を決めており、トレンドマイクロの日本法人やCNET Japanも今回の侵害を取り上げた。日本の導入校にとっての論点は、攻撃そのものより「決定権がどこにあるか」のほうだ。

仮に同種の侵害が起きた場合、日本の大学の学生データであっても、削除交渉や身代金の判断はInstructure本社が米国の法制度のもとで進める。日本の個人情報保護法は漏えい時に個人情報保護委員会への報告を義務づけるが、犯罪集団との交渉や「削除した」の検証は、日本側の監督が及ばないベンダーの領域で動く。トレンドマイクロ日本法人によれば、Canvasには履修情報やメールアドレスのほか、配慮申請やアドバイザーとの非公開のやり取りといった機微な情報も保存されうる。波及するかどうかの分かれ目は、契約に監査権・データの保管場所・漏えい通知の期限が書き込まれているかどうかだ。つまり、導入校が「交渉のテーブルに座れる条件」を自前で残せているかにかかっている。

🏁 SaaS共通化が生む「一蓮托生」——導入校に問われるのは契約のほう

つまり今回の件は、8,800校で起きた8,800件の事故ではない。共通基盤で起きた1件の事故が、8,800校に同時に降りかかった出来事だ。SaaSへの共通化は、各校がばらばらにサーバーを抱える負担を減らす代わりに、有事のリスクと交渉権を一カ所へ集める。導入校が握れるレバーは、もはやファイアウォールの設定ではなく契約条項のほうにある。漏えい通知の対応期限（SLA）、監査権、身代金を払うかどうかの決定権、そして保存するデータを最小限に絞る設計。Instructureは身代金を払って「解決」したが、検証手段の不在も再発の常習性も手つかずのままだ。日本大学のように全学導入へ進む学校が次に確かめるべきは、ベンダーのセキュリティ宣言ではなく、自校の契約に何が書いてあるかだろう。

ランサムウエア追跡チーム はみ出し者が挑む、サイバー犯罪から世界を救う知られざる戦い