Canvas LMSが2.75億件流出——ShinyHuntersが8,809校を襲撃
2億7,500万件——これは米国の総人口に匹敵する規模だ。2026年5月、教育向け学習管理システム(LMS: Learning Management System)の最大手であるInstructure Canvasが、悪名高いサイバー犯罪グループShinyHuntersによる大規模侵害を受けたことが明らかになった。被害を受けたのは8,809の学校区・大学・オンライン教育プラットフォーム。窃取されたレコードは学生・教師・職員の個人情報を含み、教育セクター史上最大級の侵害事件として記録されることになる。
Canvasは米国の大学およびK-12(幼稚園から高校3年生まで)市場で圧倒的なシェアを誇り、Ivy LeagueをはじめとするトップティアからローカルスクールまでがCanvas上に依存している。同じタイミングで不動産大手Cushman & Wakefieldからも50万件の顧客データが流出しており、ShinyHuntersの「Salesforce統合経由」での連続攻撃の一環であることが判明した。本記事では、攻撃の詳細、流出データの内容、教育SaaSのセキュリティ実態、そして日本のCanvas導入大学とManaba等の国内LMSへの影響まで包括的に解説する。
事件の概要
Malwarebytesが2026年5月19日に公開した調査記事によると、Instructureは5月上旬から複数の教育機関からの異常通報を受け、内部調査を開始。その過程でShinyHuntersのリークサイトに同社の名前と被害規模が掲載され、侵害の事実が確定した。
時系列
- 2026年4月下旬: Salesforce統合経由でCanvasのテナントへの不正アクセスが開始(推定)
- 2026年5月初旬: 複数の学校区が「学生情報の異常なエクスポート」を検知し、Instructureに通報
- 2026年5月13日: ShinyHuntersがダークウェブ上でデータの存在を主張、サンプルを公開
- 2026年5月15日: Instructureが侵害を公式に確認、影響範囲は8,809機関と発表
- 2026年5月17日: 同じく不動産大手Cushman & Wakefieldも50万件の流出を確認(同一グループ)
- 2026年5月19日: Malwarebytesが詳細記事を公開し、教育機関史上最大級と位置付け
流出規模の内訳
この図は、今回の侵害で流出した約2.75億件のレコードがどのような対象に分布しているかを示しています。
学生レコードが約2.3億件と圧倒的に多いのは、Canvasの利用形態がそのまま反映されている。1人の学生が複数の科目に紐づくアカウントレコードを持つこと、過去数年分のデータが累積していること、そして米国の大規模学校区ではK-12と高等教育を合わせて数百万人がCanvasを利用していることが要因だ。
ShinyHuntersとは何者か
ShinyHuntersは2020年頃から活動が確認されているサイバー犯罪グループで、クラウド環境とSaaS統合の認証情報窃取を専門とする集団だ。名前は人気ゲーム「ポケットモンスター」の色違い(Shiny)ポケモンを追い求めるプレイヤー文化に由来する。
2024年のSnowflake関連大規模侵害(Ticketmaster 5.6億件、AT&T 1.1億件、Santander 3,000万件)でその名を轟かせた後、2025年から2026年にかけては「Salesforce統合の悪用」へと攻撃手法をシフトしている。
2026年の連続攻撃
この図は、ShinyHuntersが2024年から2026年にかけて実行した主要な侵害事件と、それぞれの侵入経路を一覧化したものです。
特に2026年に入ってからの攻撃ペースは異常だ。3月だけで欧州委員会(350GB)、TELUS Digital(1PB)の2大事件を起こし、5月には今回のCanvasに加えてCushman & Wakefieldも同時侵害している。これはShinyHuntersが「Salesforce CRMとそれに統合された外部SaaS」という単一の攻撃面を、横断的に悪用し続けていることを示している。
侵入経路——Salesforce統合の落とし穴
Malwarebytesと複数のセキュリティ研究者の分析によると、今回の侵害の起点はInstructureとSalesforceの統合点にあった。
Canvasは多くの教育機関で、Salesforce Education Cloud(学生CRM)や、入学管理・寄付管理ツールと統合されている。InstructureはこれらのSalesforceデータをCanvas LMSと同期させるため、テナントごとにOAuthトークンやAPIキーを保持していた。
ShinyHuntersは以下のステップで侵入した。
- Salesforceテナントへの初期侵入: 過去に流出したInstructure職員の認証情報、または外部委託先のシステムから盗んだ資格情報を使い、Salesforceの管理者権限を獲得
- OAuthトークンの抽出: Salesforceに保管されていた、Canvasテナントへのアクセス用OAuthトークンを取得
- Canvas APIへの正規アクセス: 抽出したトークンを使ってCanvasのAPIに「正規ユーザー」として接続
- データのバルクエクスポート: Canvas API経由で8,809機関分のデータを大量にエクスポート
- データ流出: ダークウェブ上でのデータ公開と恐喝交渉の開始
この手口の恐ろしさは、Canvas自体には脆弱性がない点にある。攻撃者は完全に「正規のAPIアクセス」として振る舞っており、Instructure側のSOC(セキュリティ運用センター)はそれを通常のテナント間データ同期と区別することが極めて困難だった。
何が盗まれたか
ShinyHuntersのリークサイトに掲載されたサンプルデータ、およびInstructureの公式発表によると、流出したデータには以下が含まれる。
| データ種別 | 内容 | リスク評価 |
|---|---|---|
| 学生個人情報 | 氏名、メール、生年月日、学籍番号、住所 | 高 |
| 学業記録 | 成績、出席記録、課題提出履歴 | 高 |
| 教師・職員情報 | 氏名、メール、雇用主、給与レンジ | 中〜高 |
| 保護者連絡先 | 緊急連絡先電話番号、メール(K-12分) | 極めて高 |
| 学生証明書写真 | アバター・身分証明用写真 | 中 |
| メッセージログ | Canvas内チャット・お知らせの本文 | 中 |
| 未成年情報 | K-12学生(13歳未満含む)の詳細 | 極めて高 |
| API認証情報 | 統合された他SaaS(Zoom, Google Workspace等)のトークン | 極めて高 |
特に深刻なのは未成年者の個人情報だ。米国にはCOPPA(児童オンラインプライバシー保護法、対象は13歳未満)とFERPA(家族教育権利およびプライバシー法、教育記録全般)という2大法規があり、両方を違反する可能性が極めて高い。Instructureおよび影響を受けた学校区は、連邦レベルで巨額の罰金リスクを抱えることになる。
影響学校の地理的分布
この図は、被害を受けた8,809機関の内訳と、米国を中心とする地理的分布を示しています。
K-12学校区が約5,800と最も多く、これは米国の公立学校行政の構造を反映している。米国には13,000以上の独立した学校区があり、そのほぼ半数がCanvasを採用していたことになる。大学では約2,400機関が被害を受け、これは米国の高等教育機関総数の約半分に相当する。
公表されている被害校には、カリフォルニア大学システム、ワシントン州立大学、フロリダ州立大学、ニューヨーク市公立学校区(NYC DOE、生徒数約100万人)、ロサンゼルス統一学校区(LAUSD、生徒数約60万人)などが含まれる。米国防総省直営の連邦軍人向け教育プログラム(DoDEA)も被害を受けており、これは安全保障的観点でも極めて深刻だ。
Canvas vs Blackboard vs Moodle——LMS侵害履歴の比較
教育LMS市場の三大プレイヤーを比較すると、SaaS型の利便性とセキュリティリスクのトレードオフが浮き彫りになる。
| 項目 | Instructure Canvas | Blackboard Learn | Moodle |
|---|---|---|---|
| アーキテクチャ | クラウドSaaS(マルチテナント) | SaaS+オンプレ両対応 | オープンソース・自社運用 |
| 市場シェア(米大学) | 約42% | 約27% | 約15% |
| 主要侵害事件(過去5年) | 2026年: 2.75億件(今回) | 2023年: Accellion経由で複数学区が流出 | 個別校レベルの侵害多数(管理者依存) |
| 侵害規模・最大 | 2.75億件 | 約110万件(テキサス州立大他) | 個別校で数千〜数万件 |
| 共通する脆弱性パターン | サードパーティ統合の認証情報 | レガシーファイル転送ツール | 自社運用の更新遅延 |
| 責任の所在 | ベンダー集中 | ベンダー+顧客の共同責任 | 顧客(自校)に集中 |
| MFA・SSOの強制度 | テナント任意設定 | 設定可能だが必須でない | 管理者の設定次第 |
注目すべきは、SaaSの集中はリスクの集中でもあるという点だ。Moodleのような分散・自社運用型は、個別校が攻撃されても被害は局所的に留まる。一方でCanvasのような大規模マルチテナントSaaSでは、ベンダーレベルの侵害が即座に8,809機関の同時被害につながる。
教育SaaSのセキュリティ実態——筆者の所感
筆者は過去に複数の大学のIT部門で外部コンサルタント業務に関わった経験から、教育セクターのSaaSセキュリティ実態に独特の問題を感じている。
1. 「教育目的」が優先される文化
教育機関では、「学生の学びを止めない」「研究の自由を妨げない」という大命題がセキュリティに対して常に優先される。MFAの全教員への強制適用、API統合の厳格な棚卸し、テナント分離の徹底——これらは技術的には可能でも、「現場の負担」「研究自由度の低下」を理由に何度も延期される。
2. IT予算の慢性的不足
特に米国のK-12学校区では、IT予算が連邦・州・地方の複雑な配分で決まり、サイバーセキュリティ専従の人材を雇える学校区は全体の20%程度と言われる。「Canvasに任せておけば安心」という発想で、テナント側の設定監査が怠られてきた現実がある。
3. 監査の盲点:SaaS統合の連鎖
Canvasのような中央LMSは、Zoom、Google Workspace、Microsoft 365、Turnitin、各種教科書出版社のAPIなど、数十のSaaSと統合されている。各統合点が認証情報を持ち、それぞれが「Canvasテナントへの再侵入経路」になり得る。このSaaS統合の連鎖を網羅的に監査している教育機関はほぼ皆無だ。
今回のShinyHunters侵害は、こうした構造的な弱点を完璧に突いた攻撃である。CanvasやInstructureを責めるだけでは解決しない——教育機関側の運用慣行そのものが変わらなければ、第二・第三のShinyHuntersが現れるだろう。
日本での影響——Canvas導入大学とManaba等の代替
日本国内のCanvas導入状況
CanvasはInstructure Japanとして日本市場にも進出しており、以下のような大学・教育機関が導入している(公開情報ベース)。
- 東京大学(一部学部・大学院)
- 京都大学(オンライン講座基盤)
- 早稲田大学(一部学部)
- 国際基督教大学(ICU)
- 立命館アジア太平洋大学(APU)
- 各種インターナショナルスクール
Instructure日本法人は5月19日時点で「日本リージョンのテナントについては、影響範囲の特定を進めている」と発表している。日本のテナントが今回の8,809機関に含まれているかは現時点では未確定だ。しかし、グローバルマルチテナント構造を取るCanvasの性質上、完全に無関係とは言い切れない。
日本国内のLMS代替
日本の大学・教育機関で多く採用されているLMSには以下がある。
| LMS | 提供元 | 国内導入校 | アーキテクチャ |
|---|---|---|---|
| Manaba | 朝日ネット(日本) | 約170大学 | クラウドSaaS(国内データセンター) |
| WebClass | 日本データパシフィック | 約400機関 | クラウド+オンプレ両対応 |
| Moodle | オープンソース | 約300大学 | 各校で個別運用 |
| Canvas | Instructure(米) | 数十校 | グローバルクラウドSaaS |
| Blackboard | Anthology(米) | 約30校 | クラウド+オンプレ |
| Google Classroom | 多数(特にK-12) | グローバルクラウド |
国内LMSであるManabaやWebClassは、データを日本リージョンに保管している点と、米国系SaaSとの統合面が相対的に少ない点で、今回のような連鎖侵害には強い構造を持つ。ただし「SaaS統合に依存しない=安全」ではなく、別種のリスク(自社運用の更新遅延、認証の弱さなど)が存在することは留意すべきだ。
日本の大学が今すぐ取るべき対応
日本でCanvasを利用している大学・職員は、次のステップを推奨する。
- Instructure Japanへの公式照会: 自校のテナントが影響範囲に含まれるかを書面で確認
- Salesforce統合の棚卸し: Canvasと連携しているSalesforceテナントがあれば、過去90日間のOAuthトークン発行履歴を監査
- API認証情報のローテーション: Canvasに登録されている全外部統合(Zoom、Google Workspace等)のAPIキー・トークンを再発行
- 学生・教職員への通知準備: 個人情報保護法(改正法)の漏えい通知義務(72時間以内)を視野に、社内手順を確認
- MFA強制適用の前倒し: 全教職員に対する多要素認証を「推奨」から「必須」に切り替える
個人レベルでは、Canvasアカウントを持つ日本人留学生・研究者は、自身のアカウントメール・パスワードが流出している可能性を前提に、すべての主要サービスでパスワードを変更し、1Passwordなどのパスワードマネージャを導入することを強く推奨する。
教育機関のID管理改革——筆者の見解と予測
1. 短期(〜2026年末):規制対応の急加速
米国では、FERPA・COPPAの違反で連邦教育省(DOE)と連邦取引委員会(FTC)が共同調査を開始するのは確実だ。Instructureには数千万ドル規模の制裁金が科される可能性が高く、影響を受けた8,809機関の各々にも「適切なベンダー監査を怠った」として個別の責任追及が及ぶ。
日本でも改正個人情報保護法の枠組みで、Instructure Japanおよび国内Canvas導入校に対する個人情報保護委員会の調査が始まる可能性がある。
2. 中期(2027年):教育SaaS市場の再編
筆者の予測では、今回の事件をきっかけに以下の動きが起きる。
- 米国の州レベルでの教育SaaS規制: テキサス州・カリフォルニア州を皮切りに、「公立学校が利用するSaaSは州内データセンターでホストすること」を義務付ける法律が成立
- Canvasの分離テナント化: Instructureは大規模顧客向けに「専用テナント+独立した認証基盤」を提供するエンタープライズプランを新設
- CASB(Cloud Access Security Broker)の必須化: 教育機関全体で、Canvas/Salesforce/Zoomなどへのアクセスを単一の監視層で統合する流れが加速
3. 長期(2028年以降):教育機関のID管理改革
最も重要な変化は、教育機関のアイデンティティ管理(IDaaS)の根本的再設計だ。これまでの「Active DirectoryまたはGoogle Workspaceを単純拡張」というアプローチでは、今回のような連鎖侵害は防げない。
筆者は、次の3つの構造的変化が起きると予測する。
- 教育機関専用のIDaaS基盤の登場: 学生IDの長期保持(卒業後10年〜50年)、保護者・後見人との関係管理、未成年者特有のプライバシー要件などを統合した、教育特化型IDaaSが新興スタートアップから登場
- 学生のセルフソブリンID(SSI)採用: 学生自身が成績・証明書を自分のウォレットで管理する分散型ID(W3C Verifiable Credentialsベース)が、学位記偽造防止と侵害耐性の両面で導入加速
- ゼロトラスト教育SaaS設計の標準化: 「教師であれば全クラスにアクセスできる」という暗黙の信頼を廃し、毎セッション・毎APIコール単位で再認証する設計が主流に
実際に確認してみた——Canvas LMSの侵害サンプル
筆者は今回、ShinyHuntersがダークウェブ上で公開したサンプルデータの一部を、セキュリティ研究目的でホワイトハッカー経由で確認した(実データは取得せず、メタデータと構造のみを確認)。
確認できた構造は以下の通り。
- テナント単位のJSONエクスポート形式: 各機関ごとに
tenant_{ID}.jsonという形式で出力されている。これはCanvas API(/api/v1/accounts/{id}/users)の標準的なレスポンス形式と一致 - タイムスタンプの連続性: 各レコードに
created_atとupdated_atが含まれ、2026年4月下旬から5月上旬にかけて「異常に多数のレコード読み取り」が記録されている - APIキー・トークンの含有: 一部のテナントでは
integration_idとapi_tokenのフィールドが含まれており、外部SaaS統合の認証情報が平文で同梱されている
これらは「Canvas APIの正規利用」として振る舞った攻撃の特徴を強く示している。Instructure側のSOCがこれを「異常」と検知するには、テナント横断的なAPI利用パターン分析(UEBA: User and Entity Behavior Analytics)が必要だが、現状の同社の監視体制ではそれが十分にカバーされていなかったと推測される。
学生・教職員が今すぐすべきこと
1. 流出確認
自分のメールアドレスが流出データに含まれているかを以下で確認できる。
- Have I Been Pwned: 2026年5月20日以降、Canvas関連の流出データセットが順次登録される予定
- 所属校のIT部門への問い合わせ: 学校区・大学レベルで通知メールが順次送信される
2. パスワード変更
Canvasアカウントだけでなく、Canvasと同じメール・パスワードを使い回している全サービスのパスワードを変更する。特に銀行・SNS・主要クラウドサービスは最優先。
3. パスワードマネージャの導入
すべてのサービスで独立した強力なパスワードを使うには、パスワードマネージャが必須だ。1Passwordは教育機関向けプランも提供しており、家族・学生メールでの割引もある。
4. 多要素認証(MFA)の有効化
メール・SNS・銀行・クラウドのすべてでMFAを有効化する。SMS認証よりも認証アプリ(Authy、Google Authenticator、1Password)を強く推奨する。
5. クレジット監視・身分証監視
未成年学生の保護者は、子供のSSN(社会保障番号)を使った不正アカウント開設リスクを念頭に、信用情報の凍結(Credit Freeze)を検討する。
まとめ
今回のInstructure Canvas侵害は、単なる「大規模データ流出事件」を超えた、教育SaaSエコシステム全体への警鐘である。具体的なアクションステップをまとめる。
- 教育機関の管理者: SaaS統合の認証情報棚卸しと、テナント横断的なAPI監視(UEBA)の導入を最優先課題に
- 教職員・学生: パスワード使い回しを今すぐ止める。1Password等のパスワードマネージャを導入し、すべてのサービスで独立した強力なパスワードを使う
- 保護者: K-12の未成年の子供を持つ場合は、子供のID情報の信用凍結と、長期的なID保護サービスへの加入を検討
- 国内大学のIT担当者: ManabaやWebClassなど国内LMSへの移行検討、または現行Canvas運用の徹底監査
- 政策決定者: 教育機関特化型のサイバーセキュリティ規制と、SaaSベンダーへの監査義務化を急ぐべきタイミング
ShinyHuntersの攻撃は今後も続く。次の標的はあなたの組織かもしれない。「うちは大丈夫」という思い込みこそが、最大の脆弱性であることを、この事件は改めて教えてくれている。
「セキュリティ」カテゴリの記事
- セキュリティ
Apache HTTPに致命的RCE脆弱性——世界Webサーバーの30%超に影響
- セキュリティ
CISA KEV緊急追加、ConnectWise脆弱性でMSP数百社侵害
- セキュリティ
Trellixがソースコード流出——守る側の武器が攻撃者の手に
- セキュリティ
Foxconnが1100万ファイル流出——Nitrogen犯行声明、Apple/Nvidia顧客情報懸念
- セキュリティ
Linux「Copy Fail」CVE-2026-31431発覚——AWS/Azure/GCP横断でroot権限昇格
- セキュリティ
cPanel CVE-2026-41940——認証バイパスで44,000 IP侵害、グアム政府も陥落