知名教育プラットフォーム Canvas は最近ハッカー攻撃を受け、世界中の数千の大学・専門学校の運用が停止した。親会社 Instructure は、最大 3.5 TB の教職員・学生のデータが公開されるのを防ぐため、ハッカーと協議が成立し身代金を支払ったことを公式に発表し確認した。この事件は学生のオンライン試験に直接影響し、企業がサイバーセキュリティの恐喝に直面した際に妥協するかどうかについて、またもや市場で熱い議論を引き起こした。
親会社は Instructure が身代金を支払い、引き換えに 3.5TB の資料の個人情報を消去
今回の大規模なサイバーセキュリティ事件は、米国、カナダ、オーストラリア、英国などにある約 9,000 の教育機関に影響した。Canvas のクラウドサービス停止の間、多くの学校の日常業務や期末試験が中断を余儀なくされた。Canvas の開発元 Instructure は、ハッカーと協議が成立し、盗まれた 3.5 TB のデータがネット上で公開されないようにすると認めた。同社の声明によれば、ハッカーはデータを返却し、データ消去のためのデジタル証明(Shred logs)を提供し、いかなる学生や機関に対しても恐喝しないと約束している。公式はいまだ取引金額を明確に説明していないが、こうした恐喝グループは通常、暗号化チャットサービスを通じて交渉し、被害者にビットコインで支払うよう求める。
世界の捜査当局:身代金の支払いではデータの安全は確保できない恐れ
セキュリティ専門家は、サイバー犯罪者に妥協することは今後の攻撃を助長するだけでなく、データが本当に削除されたことをまったく保証できないと警告している。過去にも、身代金を受け取った後に約束を破ったハッカーが多数記録されている。たとえば、国際警察が悪名高いランサムウェア集団 LockBit を押収した際、すでに身代金を支払った被害者の盗まれたデータが削除されず、ハッカーが将来の転売に備えて保持していたことが判明した。
ハッカーの恐喝メッセージが試験画面を直撃し、学生のテストが中断を余儀なくされる
今回のハッカー攻撃は、教職員・学生が教育システムを利用することに直接影響したため、Instructure は公衆に対して案件の進捗を報告せざるを得なくなった。米国の一部の学生がオンライン試験を受けている最中、パソコンの画面に突然、ハッカー集団の恐喝メッセージが表示された。ミシシッピ州立大学の学生によると、長文の試験をまさに終えようとしていたとき、画面が「Shiny Hunters が(再び)Instructure に侵入した」という文言で覆われ、ビットコインを支払わなければデータを公開すると脅された。この突発事態により試験会場は混乱し、校側はその後、一部の試験を延期すると発表せざるを得なくなり、学生に紛失した回答の進捗を取り戻す時間を与えた。
公式説明:被害状況は重大な核となるデータの安全に問題なし、5 月 13 日に説明会を実施
Instructure が公表した被害状況の説明によると、今回ハッカーが盗んだデータには、ユーザー名、メールアドレス、コース名、登録情報、通信メッセージなどの項目が含まれているが、「コア学習データ」(たとえばコース内容、課題の提出記録、証明書など)は侵害されなかった。さらに同社は、「無料の教師版」環境におけるサポートサービスに脆弱性があり、ハッカーに利用されたことを確認しており、現在は全体的なセキュリティ審査のため同サービスを一時停止している。
国際ハッカー集団 Shiny Hunters は繰り返し犯行、道徳的な指摘には回答拒否
BBC の報道によれば、今回犯行を主張している組織は「Shiny Hunters」であり、同集団は企業データを盗み、それを公開してビットコインによる恐喝で圧力をかけることで知られている。過去には Jaguar Land Rover や Gucci などの著名企業のデータ流出事件にも関与していたとされる。関係者によると、同集団のメンバーは英語を母語とし、年齢は比較的若いという。メディアとの暗号化された対話の中で Shiny Hunters は、今回の攻撃の前に Canvas システムへすでに 2 度成功裏に侵入していたと明かしている(それぞれ 2025 年 9 月と 2026 年 4 月)。学生に与えた心理的な負担や試験への妨害について問われると、同集団は冷淡に次のように返した。「これについて私たちは評価しない。」
この記事 教育プラットフォーム Canvas は身代金の支払いで盗まれた個人情報を手に入れる!セキュリティ専門家は懸念:犯罪行為を助長する恐れ 最初に 出現したのは 鏈新聞 ABMedia。
Related News
Telegram のユーザー名が100万ドルの高値で落札され、偽造 USDT によるフィッシング攻撃が発生した
AIパッケージのサプライチェーンが二重攻撃:Mistralと偽のOpenAIモデルが共に侵入される
Google:大規模言語モデルが実際の攻撃に悪用され、AIは二要素認証のセキュリティ機構を回避できる可能性があります
OpenAIは、資本が安い計画Daybreakを発表し、GPT-5.5の三層構造でAnthropicのMythosに対抗します
微軟:偽の macOS 障害(トラブル)解決ページを配信し、ClickFix を導入して暗号通貨ウォレットの秘密鍵を盗み取る
