Canvas運営Instructureに大規模ランサム攻撃、世界9000校・約2億7500万件のデータが流出

登場人物紹介

チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。

ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo

「Canvasって世界中の学校で使われてるシステムでしゅよね?」
「2億7500万件のデータ流出って、信じられない規模でしゅ……」

 

チップス

ボス!Canvasって日本の大学でも見たことありましゅ。それが世界9000校で攻撃されたとか、想像が追いつかないでしゅ……

ボス

そうだな。Instructure社のCanvasは世界最大級の学習管理システムで、そのインフラを狙ったランサム攻撃が現実になった。教育分野で記録的な規模だ。事実関係と教訓を整理していこう。

2026年5月、教育プラットフォームCanvasを運営するInstructure社が、犯罪グループShinyHuntersによる大規模ランサム攻撃を受けたと公表しました。
本記事では、確定している情報をもとに攻撃の全体像と教訓をやさしく整理していきます。

 

  • 約2億7500万件・3.65TBが窃取された、教育分野で過去最大級の侵害
  • 支援チケット機能の脆弱性が初期侵入経路として悪用された
  • InstructureはShinyHuntersへ身代金を支払い、データ破棄の確認を得たと発表

 

SaaS型プラットフォームを業務基盤として活用している組織にとって、本件は他人事ではありません。
攻撃の流れ、漏えいデータ、教訓となる対策ポイントの順に解説していきます。

 

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
目次

事件の概要と攻撃の流れ

 

本件は単発の侵害ではなく、2段階の攻撃と恐喝交渉が組み合わさった現代型のランサム作戦です。

 

支援チケットの脆弱性から侵害が始まった

 

ShinyHuntersは、無償提供されている「Free-for-Teacher」環境のサポートチケット機能に存在した脆弱性を悪用し、Canvas基盤への初期アクセスに成功しました。
その後、5月7日には2度目の侵入が確認され、約330機関のログインポータルがランサムメッセージへ改ざんされる事態に発展しています。
事件の時系列は次の通りです。

 

日付主な動き
2026/4/25不正アクセスを検知、第三者フォレンジック開始
2026/5/1Instructureがインシデントをステータスページで公表
2026/5/7ログインページがランサム文面に改ざんされる第二波
2026/5/12身代金交渉の期限到来、合意成立を発表

 

チップス

無料機能の脆弱性から本番環境まで侵入されちゃったんでしゅか……無料だから油断しがちでしゅよね。

ボス

そうだ。本番サービスと信頼境界を共有する無料テナントは、攻撃者にとって安価な実験場になりがちだ。SaaS事業者にも利用組織にも、設計レビューが要求される事例だな。

流出データと教育現場・SaaS利用者への教訓

 

流出データの内訳と、本件から汲み取るべきSaaS時代のリスク設計を整理しておきます。

 

漏えいしたもの・しなかったもの

 

窃取されたデータは約2億7500万件・3.65TBで、主にユーザー名、メールアドレス、コース名、登録情報、メッセージといった内容です。
同社は、コース教材、課題提出物、認証情報は侵害されていないと強調しています。
整理すると以下の通りです。

 

  • 流出:ユーザー名、メール、コース名、登録情報、メッセージ
  • 影響:世界8809機関、275M人規模
  • 非侵害:コース教材、課題提出物、パスワード等の認証情報

 

SaaS利用組織がいま見直すべき点

 

SaaS事業者の侵害は利用組織側でコントロールしきれませんが、被害最小化のための備えは可能です。
セキュリティ担当者の方が押さえるべき優先項目は以下の通りです。

 

  • 主要SaaSのインシデント通知ルートと連絡先を事前整備
  • 利用者向けフィッシング対策と認証情報の使い回し禁止
  • SaaSアカウントへの多要素認証とログイン異常検知の有効化

 

チップス

身代金を払って解決したって発表でしたけど、それで本当に大丈夫なんでしゅか?

ボス

正直なところ、データが完全に破棄される保証はない。だからこそ利用組織は、流出を前提とした二次被害対策、つまりフィッシング監視や認証情報のローテーションを進めておく必要があるな。

まとめ

 

Instructure Canvasのランサム被害は、教育分野の枠を超えて、SaaS基盤に依存する全組織への警鐘です。
セキュリティ担当者の方は、SaaS事業者選定時のセキュリティ評価と、利用組織側の二次被害対策の両面を改めて点検していきましょう。
詳細はThe Hacker Newsの報道を参照してください。

 

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

セキュリティプロ・フリーランスは、セキュリティ領域に特化したフリーランス向けのエージェントサービスです。案件探しだけでなくキャリアにお悩みの方もお気軽にご相談ください。

目次