チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「Canvasって世界中の学校で使われてるシステムでしゅよね?」
「2億7500万件のデータ流出って、信じられない規模でしゅ……」
チップスボス!Canvasって日本の大学でも見たことありましゅ。それが世界9000校で攻撃されたとか、想像が追いつかないでしゅ……
ボスそうだな。Instructure社のCanvasは世界最大級の学習管理システムで、そのインフラを狙ったランサム攻撃が現実になった。教育分野で記録的な規模だ。事実関係と教訓を整理していこう。
2026年5月、教育プラットフォームCanvasを運営するInstructure社が、犯罪グループShinyHuntersによる大規模ランサム攻撃を受けたと公表しました。
本記事では、確定している情報をもとに攻撃の全体像と教訓をやさしく整理していきます。
SaaS型プラットフォームを業務基盤として活用している組織にとって、本件は他人事ではありません。
攻撃の流れ、漏えいデータ、教訓となる対策ポイントの順に解説していきます。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
本件は単発の侵害ではなく、2段階の攻撃と恐喝交渉が組み合わさった現代型のランサム作戦です。
ShinyHuntersは、無償提供されている「Free-for-Teacher」環境のサポートチケット機能に存在した脆弱性を悪用し、Canvas基盤への初期アクセスに成功しました。
その後、5月7日には2度目の侵入が確認され、約330機関のログインポータルがランサムメッセージへ改ざんされる事態に発展しています。
事件の時系列は次の通りです。
| 日付 | 主な動き |
|---|---|
| 2026/4/25 | 不正アクセスを検知、第三者フォレンジック開始 |
| 2026/5/1 | Instructureがインシデントをステータスページで公表 |
| 2026/5/7 | ログインページがランサム文面に改ざんされる第二波 |
| 2026/5/12 | 身代金交渉の期限到来、合意成立を発表 |
チップス無料機能の脆弱性から本番環境まで侵入されちゃったんでしゅか……無料だから油断しがちでしゅよね。
ボスそうだ。本番サービスと信頼境界を共有する無料テナントは、攻撃者にとって安価な実験場になりがちだ。SaaS事業者にも利用組織にも、設計レビューが要求される事例だな。
流出データの内訳と、本件から汲み取るべきSaaS時代のリスク設計を整理しておきます。
窃取されたデータは約2億7500万件・3.65TBで、主にユーザー名、メールアドレス、コース名、登録情報、メッセージといった内容です。
同社は、コース教材、課題提出物、認証情報は侵害されていないと強調しています。
整理すると以下の通りです。
SaaS事業者の侵害は利用組織側でコントロールしきれませんが、被害最小化のための備えは可能です。
セキュリティ担当者の方が押さえるべき優先項目は以下の通りです。
チップス身代金を払って解決したって発表でしたけど、それで本当に大丈夫なんでしゅか?
ボス正直なところ、データが完全に破棄される保証はない。だからこそ利用組織は、流出を前提とした二次被害対策、つまりフィッシング監視や認証情報のローテーションを進めておく必要があるな。
Instructure Canvasのランサム被害は、教育分野の枠を超えて、SaaS基盤に依存する全組織への警鐘です。
セキュリティ担当者の方は、SaaS事業者選定時のセキュリティ評価と、利用組織側の二次被害対策の両面を改めて点検していきましょう。
詳細はThe Hacker Newsの報道を参照してください。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
