米企業のInstructureが開発したクラウドベースの学習管理システム「Canvas LMS」が侵害され、ShinyHuntersが犯行を主張しているということです。「Canvas LMS」は世界中の大学や教育機関で利用されており、ウェブで授業の資料の配布やディスカッション、課題の提出、成績管理まで教育や研修の現場をサポートするシステムだということです。
ログイン画面に脅迫メッセージ、学生投稿で明らかに
Instructure社が開設している最近のセキュリティインシデントへの対応をまとめたページによると、4月30日にAPIキーを使用しているユーザーに向けて軽微な不具合が発生している可能性があるとの告知を行い、5月1日に犯罪者によるセキュリティインシデントに見舞われたことを明らかにし、外部のフォレンジック専門家の協力を得て調査をしていることを明らかにしています。
5月2日にはインシデントは収束したとし、影響を受けたシステムに関連付けられた特権認証情報とアクセストークンを失効させ、システムセキュリティを強化するためのパッチを適用したこと、監視を強化したことを明らかにしています。そのうえで影響を受けた教育機関のユーザーの氏名、メールアドレス、学生証番号などの個人情報、ユーザー間のメッセージが流出した可能性について公表しています。
5月9日には、Canvas LMSは完全に復旧し利用いただけるようになったと発表、今回の事件に関するフォレンジック分析にCrowdStrikeが協力していることを明らかにし、サイバーセキュリティのさらなる強化に向けて取り組んでいることを表明しています。また不正アクセスを行った人物はFree-For-Teacherアカウントに関連する脆弱性を悪用したとし、Free-For-Teacherアカウントを一時的に停止したと明らかにしています。
Instructure社のリリースでは具体的な影響としてはAPIキーを使用しているユーザーに軽微な不具合が発生したというインシデントにとどまっている印象ですが、ネット情報によると、5月7日にはログインしたユーザーに向けて、ShinyHuntersを名乗るメッセージが出現し、メッセージにはInstructure社が自分たちを無視してセキュリティパッチを適用したとして非難するとともに、データの公開を阻止するための交渉に個別に応じる用意があること、期限は5月12日の終業時間までとすることなどが記されていました。この脅迫メッセージはCanvas LMSを利用している学生たちがネットに公開したことで明らかになったようです。また、ShinyHuntersはデータリークサイトで学生や教員2億7500人分のデータや数十億件のプライベートメッセージなどを窃取したと主張しているようです。
立教大学は確認中も「影響は出ていない」
ShinyHuntersはSalesforce(セールスフォース)を利用する企業を狙った大規模なデータ侵害や恐喝を行っている脅威として知られており、Scattered SpiderやLAPSUS$と連携して活動しているとみられており、若い世代のサイバー犯罪者とみられています。巧妙なソーシャルエンジニアリングを駆使して活動することで知られています。
Canvas LMSは、世界の9000校にのぼる学校で採用されているとされ、特にアメリカの学校での利用が多いようです。日本では立教大学が採用していて立教大学によると、今回のインシデントについて承知しており確認をしているということです。また立教大学のCanvas LMSの運用に影響は出ていないということでした。
【出典】
https://www.instructure.com/incident_update
https://newuniversity.org/2026/05/07/uci-canvas-down-due-to-nationwide-hack/