米企業のInstructureが開発したクラウドベースの学習管理システム「Canvas LMS」がShinyHuntersとみられるサイバー犯罪者に侵害された事件で、FBI(米連邦捜査局)がアラートを発出して将来的な影響について警告しました。
電話やスワッティング、虚偽の主張をするケースも
Instructureは不正アクセス者と合意に達したことを明らかにし、ユーザーは公私を問わず恐喝されることはないとウェブサイトでInstructureのコミュニティに向けて発信しています。しかし、FBIは5月15日に発出したアラートで、犯行声明を出したShinyHuntersは大規模なデータ侵害と恐喝を専門とするサイバー犯罪グループで、一度に数百件もの顧客記録を盗み出すことが多いと指摘、盗んだ機密情報や個人情報に関する真相やあるいは誇張した主張によって被害者に金銭を要求するとし、被害者はShinyHuntersという署名の脅迫メールを受け取る可能性があるとしています。
FBIによると、脅迫メールにとどまらず電話をかけてきたり、警察などに虚偽の通報をするスワッティングを行ったり、被害者の恥ずかしい写真や動画、不都合な情報を持っていると偽って主張をすることもあるということです。そのような「圧力戦術」の後にデータ漏えいサイトのさまざまなバージョンに流出したデータを投稿することがあるということです。FBIはクラウドベースの管理プラットフォーム、統合されたサードパーティサービス、機密性の高い顧客データや企業データへのアクセスをもつ教育機関はリスクが高まっていると警鐘を鳴らしています。学生や教職員を欺く高度なスピアフィッシング攻撃を仕掛ける可能性があり、盗んだデータを使って教職員やITサポート、奨学金の担当部署になりすます可能性があると指摘しています。
そのうえで、個人データを持っていると主張する人物から直接連絡があった場合は、支払いをしたり要求に応じることはせず、学校やLMSプロバイダー、法執行機関を名乗る不審なメールや電話、テキストメッセージには十分に注意し返信する前に不審なメールなどに記載されている連絡先が正しいか確認するとともにリンクをクリックしたり添付ファイルをダウンロードしないように呼びかけています。
ShinyHuntersを名乗る複数の脅威クラスターの存在
Google傘下のマンディアントが今年1月に公開したレポートによれば、過去のShinyHuntersブランドの恐喝作戦と一致する戦術、技術、手順(TTP)の脅威活動が拡大しており、それらの活動は高度な音声フィッシング(ビッシング)と認証情報収集サイトを利用して、シングルサインオン(SSO)認証情報と多要素認証(MFA)コードを入手することで、企業環境への初期アクセスを確立し、侵入後、SaaSアプリケーションを標的に、機密データと内部通信を抜き出し、その後の恐喝に利用するというものです。
マンディアントによると、Google脅威インテリジェンスグループは、この活動を3つの脅威クラスターとして追跡していて、なりすましの可能性も考慮に入れているということです。Canvas LMS への侵害の詳細は明らかではありませんが、ShinyHuntersを名乗って活動をしている複数のグループがあり、初期侵入からデータ窃取、恐喝行為など攻撃のさまざまなフレーズにおいて、ShinyHuntersブランドを名乗る複数のグループが役割を分担して攻撃に関与している可能性があるようです。Google脅威インテリジェンスグループは最近のレポートで「BlackFile」というブランド名で活動する脅威アクターが2026年初頭に登場し、大規模な恐喝キャンペーンを繰り広げていることを報告しましたが、この脅威グループもShinyHuntersのブランドを流用し、脅威に信ぴょう性を与えようとしているということです。ただし、この脅威は独自の通信チャンネルやドメイン登録パターン、専用のデータリークサイトを開設していることからGoogle脅威インテリジェンスグループはShinyHuntersに従属しておらず独立した脅威クラスターとの判断を示しています。
【出典】
https://www.ic3.gov/PSA/2026/PSA260515