ハクソク

世界を動かす技術を、日本語で。

Instructureが「Canvas」ハッカーに身代金を支払う

2026年5月12日原文(insidehighered.com)

概要

  • Instructure社 のLMS「 Canvas」が2度にわたりハッキング被害
  • 2億7500万人分のデータ流出、身代金支払いでデータ返還
  • サービス停止により 多くの大学で試験延期 など影響拡大
  • 専門家は「 身代金支払いはリスク」と警告
  • 今後の サイバーセキュリティ対策強化 が急務

InstructureとCanvasの大規模ハッキング事件

  • Instructure社 の学習管理システム(LMS)「 Canvas」が、サイバー犯罪集団「 ShinyHunters」により2度にわたり侵害
  • 被害は 8800以上の教育機関2億7500万人分のユーザーデータ (氏名、メールアドレス、学生IDなど)が対象
  • Instructureは 身代金を支払い、ハッカーから「データ破棄のデジタル証明(shred logs)」を受領
  • 同社は「 顧客が個別にハッカーと交渉する必要なし」と発表
  • Canvasは 北米の高等教育機関の41% で利用、影響範囲が非常に広大

ハッカー「ShinyHunters」とその脅迫手法

  • ShinyHunters は、 University of Pennsylvania、Princeton、Harvard などでもデータ侵害を起こした実績
  • 身代金未払いの場合、「 全ユーザーデータ公開」と脅迫
    • 数十億件のプライベートメッセージや個人情報も含む
  • 5月12日を支払い期限とし、教育機関やInstructureへの直接交渉も呼びかけ
  • 一度目の侵害後、Instructureはセキュリティ強化を実施したが、再度突破される事態に

影響とInstructureの対応

  • Canvas利用停止 により、多くの大学が 試験や課題の締切延期 を余儀なくされる
  • Instructure CEOの Steve Daly は、「情報開示が遅れた」と謝罪し、今後は透明性を高める方針を表明
  • 5月中旬時点で「 全Canvas環境が復旧」と報告

身代金支払いのリスクと専門家の見解

  • National Cybersecurity Alliance のCliff Steinhauer氏は、「 身代金支払いはサイバー攻撃を助長 する」と指摘
    • 攻撃者に経済的インセンティブを与え、今後の標的拡大リスク
    • 支払いによる「データ削除証明」も 信頼性が低い と警告
    • 長期的にはさらなる 情報流出や再脅迫のリスク が残存
  • 法執行機関も「 支払いは推奨しない」と一貫して警告

今後の課題と展望

  • Instructureは 専門業者と連携し、フォレンジック調査とセキュリティ強化 を継続
  • 教育分野全体での サイバーセキュリティ意識向上インシデント対応力の強化 が急務
  • 今回の事例は、 大規模教育サービスに対する攻撃の深刻さ と、 身代金支払いの是非 について新たな議論を呼ぶ

Hackerたちの意見

データが私たちに返されました。私の理解では、そのデータはコピーされたものだと思っていました。データが「返される」ことは、暗号化されているか、オリジナルが削除されていない限りないでしょう。この表現に混乱していますが、もしかしたら標準的なものかもしれません。モネロにとってはいいニュースですね。1月の急騰はハッキングによるものかもしれません。こちらがShinyhuntersのウェブサイトです。Canvasがリストに載っていて、その後削除されました。

ハッカーが漏らさないようにするインセンティブがあるんだろうね。そうすれば次の身代金を逃れられるから。

データが暗号化されていない限り、データを「返す」ことはないよ。引用した次の行はこうだね:> データ破壊のデジタル確認を受け取りました(シュレッドログ)。もし彼らが削除しなかったら驚くけど、彼らが「返された」と呼ぶ理由は、彼らの信念によればデータは「返された」後に削除されたからだと思う。

データ漏洩があったとき、実際にはデータが盗まれることは少ないってことを指摘するのはいいタイミングだね。本当の脅威や被害は、盗まれたデータが自分に対して使われるときなんだよ。

LOL、これは「身代金を払ったけど、悪党たちが大丈夫だって言ってるから心配しないで」っていう、すごい重たいオプティクスのフレーミングだね。

ハッカーに身代金を払うのは違法だと思ってたけど、実際は合法なのかな?それともあまりはっきりしてないのかな?企業は法執行機関と一緒に確認しなきゃいけない条件があると思ってたけど、少なくとも身代金が政府の制裁リストに載ってるハッカーグループに渡らないようにするためにね。それと、攻撃の根本原因を知ってる人いる?オンラインで噂を読んだけど(どこにも確認されてないけど)、ShinyHuntersの一般的なパターンで、Salesforce Experience Cloudサイトの脆弱性を利用してる可能性があるって。確実に確認されているのは、「Free-For-Teacherアカウント」というCanvasの機能が関与している脆弱性だってこと。

悪党たちが払われて情報を公開したら、将来的に払われる可能性が低くなるだけじゃなくて、誰もが払われる可能性が低くなるんだよね。別の悪党たちですら、払われた後に情報を漏らさないようにするインセンティブがあるんだ。

「データ破壊のデジタル確認を受け取りました(シュレッドログ)」って言ってたけど、これってユーザーを騙して、ハッカーがデータを保持してないと思わせるためのものなの?

一方で、身代金を払うことで同じような考えの人たちがランサムウェアを始めたり、強化したりするのを助長するから、あまり良くないよね。もう一方では、ビジネスを続けたいランサムウェアグループは、データを公開したり削除したりしないという点で正直でなければならないから、そうしないと「信頼できる」ランサムウェアオペレーターにはなれないっていうのは、ちょっと面白い考えだよね。そして多くの場合、被害者はデータが漏れないようにランサムウェアオペレーターに払ってもらいたいと思ってるから、払うのが現在の被害者にとってはベストなんだよね(でも将来の被害者の可能性を高めるけど)。ランサムウェアのダイナミクスや経済は本当に興味深い。

これが常に身代金のゲーム理論で、典型的な集団行動問題の例なんだよね(囚人のジレンマの一形態でもある)。各企業は身代金を払った方が得だと思うけど、誰もが身代金を払わなければみんなが得なんだ。だから、例えばアメリカが公式にノーランサムポリシーを持っている理由や、他のノーランサムポリシーが存在する理由なんだ。個々の被害者が払わないように強制する何かが必要で、そうしないと常に払うインセンティブがあって、ランサムウェアは利益を上げ続けることになる。 https://en.wikipedia.org/wiki/Collective_action_problem https://en.wikipedia.org/wiki/Prisoner%27s_dilemma

もしランサムウェアが常に存在していて、いつでもデータが身代金にされる世界を想定すると、そのために設計された世界になるだろうね。ディスクワールドの「ランサムウェアギルド」に保険を払って、誰かがデータを身代金にするのを許さないようにするか、エンドツーエンドの暗号化に基づいたシステムでデータが無価値になるかのどちらかだね。

攻撃者の評判って、あんまり意味があるとは思えないな。グループはいつでも新しいアイデンティティに変わることができるし。結局、彼らは匿名のサイバー犯罪者だから、評判を隠す以上の理由でそうすることもあるだろうし。被害者にとっては、同じ人たちが「新しい」名前を使おうが古い名前を使おうが、システムを人質に取られる状況はあんまり変わらない気がする。

Hacker Newsで議論の続きを見る