広く使用されている教育技術プラットフォーム「Canvas」を狙った継続的なデータ恐喝攻撃が、本日、全米の学区および大学の授業と課題を混乱させました。サイバー犯罪グループがサービスのログインページを改ざんし、約9,000の教育機関に属する2億7,500万人の学生と教職員のデータをリークすると脅す身代金要求を掲示しました。
本日Canvasログインページに表示された恐喝メッセージを示す、読者から共有されたスクリーンショット。
Canvasの親会社であるInstructureは、本日の改ざん攻撃に対応して、プラットフォームを無効化しました。このプラットフォームは、何千もの学校、大学、企業が課題と課題を管理し、学生と通信するために使用しています。
Instructureは今週初め、サイバー犯罪グループShinyHuntersが責任を主張し、身代金を支払わなければ数千万人の学生と教職員のデータをリークすると述べた後、データ流出を認めました。身代金の支払い期限は当初5月6日に設定されていましたが、後に5月12日に延期されました。
5月6日の声明では、Instructureは、これまでの調査によると、盗まれた情報には「影響を受けた機関のユーザーの特定の識別情報(名前、電子メールアドレス、学生ID番号、およびユーザー間のメッセージなど)」が含まれていると述べました。同社は、流出したデータにパスワード、生年月日、政府識別子、財務情報などのより機密性の高い情報が含まれた証拠を見つけなかったと述べました。
5月6日の更新では、Canvasが完全に機能しており、Instructureはプラットフォーム上で継続的な不正アクティビティを検出していないと述べました。「現在の段階では、インシデントが封じ込められたと考えています」とInstructureは書きました。
しかし、5月7日木曜日の午後までに、何十もの学校と大学の学生と教職員が、ShinyHuntersからの身代金要求が通常のCanvasログインページに取って代わったというコメントをソーシャルメディアサイトに殺到させていました。Instructureは、Canvasをオフラインにして、ポータルを「Canvasはスケジュールされたメンテナンスを実施中です。すぐに戻ってください。」というメッセージに置き換えることで対応しました。
「近いうちにサービスを再開する予定で、できるだけ早く更新を提供します」と、Instructureのステータスページの現在のメッセージに書かれています。
ShinyHuntersによって盗まれたデータに特に機密情報が含まれているかどうかは不明ですが(ShinyHuntersは、学生と教師の間の数十億のプライベートメッセージ、および名前、電話番号、電子メールアドレスが含まれていると主張しています)、この攻撃はInstructureにとって悪い時期に起こりました。影響を受けた学校と大学の多くが期末試験の真っ最中であり、サービス停止が長引くと、同社に大きなダメージをもたらす可能性があります。
本日、数えきれないほどのCanvasユーザーを迎えた恐喝メッセージは、Instructureが支払いを決定するかどうかに関わらず、データの公開を防ぐために、影響を受けた学校が独自に身代金を交渉することを勧めました。
「ShinyHuntersはInstructureに侵入しました(再び)」と恐喝メッセージは読みました。「私たちに連絡して解決する代わりに、彼らは私たちを無視して、いくつかの『セキュリティパッチ』を行いました。」
報道機関への発言を許可されていない捜査関係者がKrebsOnSecurityに対し、多くの大学がすでにサイバー犯罪グループに支払いについて連絡したと述べました。同じ情報筋はまた、ShinyHuntersのデータリークブログがInstructureを現在の恐喝被害者のリストに含めなくなったこと、およびCanvasの顧客から盗まれたデータのサンプルも削除されたことを指摘しました。ShinyHuntersのようなデータ恐喝グループは、通常、身代金を受け取った後、または被害者が交渉に同意した後にのみ、リークサイトから被害者を削除します。
Dipan Mann、セキュリティ企業Cloudskopeの創設者兼CEOは、Instructureがステータスページで本日の停止を「スケジュールされたメンテナンス」イベントと呼んでいることを批判しました。Mannによると、Shiny Huntersは5月1日にInstructureに侵入したことを最初に実証し、InstructureのチーフインフォメーションセキュリティオフィサーであるSteve Proudは翌日、インシデントが封じ込められたと宣言しました。しかし、Mannは、本日の攻撃は過去8ヶ月間にInstructureがShinyHuntersに侵入された少なくとも3番目の時間だと述べました。
本日のブログ投稿で、Mannは、2025年9月に、ShinyHuntersがペンシルベニア大学の内部ファイル数千件(寄付者記録、内部メモ、その他の機密資料)をリリースしたことを指摘しました。Daily Pennsylvanianおよびその他のメディアは後に、これは部分的には、Canvas/Instructureを仲介したアクセスパスであると判断しました。
「Pennが指定された被害者でした」とMannは書きました。「Instructureはメカニズムでした。インシデントは、ほとんどの全米メディアによってPenn固有の物語として扱われ、Instructureによって顧客固有の問題として静かに処理されました。その枠組みは当時は間違っていました。2026年5月のイベントに照らして、それは劇的により間違っています。これらは、ShinyHuntersが少なくとも8ヶ月前からInstructure環境に対して取り組んでいた攻撃パターンの計画的なエスカレーションのように見えます。2025年9月のPennの侵害は概念実証でした。2026年5月1日のインシデントは本番実行でした。2026年5月7日の再侵害は、ShinyHuntersが5月2日の『封じ込め』が発生しなかったことを公に示していました。」
2月に、ShinyHuntersのスポークスマンはThe Daily Pennsylvanianにペンシルベニア大学が100万ドルの身代金要求を支払うことに失敗したと述べました。3月5日に、ShinyHuntersはペンシルベニア大学から盗まれたデータの461メガバイト分(寄付者記録や内部メモなどの数千のファイルを含む)を公開しました。
ShinyHuntersは、データ盗難と恐喝を専門とする多作で流動的なサイバー犯罪グループです。彼らは通常、音声フィッシングおよびソーシャルエンジニアリング攻撃を通じて企業へのアクセスを取得します。これには、IT担当者またはターゲット組織の他の信頼できるメンバーになりすましすることが含まれることがよくあります。
先月、ShinyHuntersはホームセキュリティ大手ADTから550万人の顧客の個人情報を奪いました。同恐喝グループはBleepingComputerに対し、音声フィッシング攻撃で従業員のOkta単一サインオンアカウントを危殆化させることで、ADTのSalesforceインスタンスへのアクセスを可能にして同社に侵入したと述べました。BleepingComputerは、ShinyHuntersが最近、Medtronic、Rockstar Games、McGraw Hill、7-Eleven、およびクルーズライン運営会社Carnivalを含む多くの著名な組織に対する恐喝攻撃の功績を奪っていると述べています。
Google傘下のMandiant ConsultingのチーフテクノロジーオフィサーであるCharles Carmakalは、Canvasの顧客への攻撃は、現在ShinyHuntersが開始している複数の主要なサイバー犯罪キャンペーンの1つに過ぎないと述べました。CarmakalはCanvas侵害について具体的なコメントを拒否しましたが、「複数の同時かつ個別のShinyHunters侵入および恐喝キャンペーンが現在起こっています」と述べました。
CloudskopeのMannは、次に何が起こるかは、主にInstructureの顧客(Canvasに対する支払いをしている大学、K-12地区、および教育省)が圧力をかけるか、侵害を静かに吸収するかを選択するかによって異なると述べました。
「教育ベンダーのインシデントの歴史は、最小抵抗の道は2番目のものであることを示唆しています」と彼は結論付けました。
更新、5月8日午前11:05 ET:Instructureは、侵害に関する詳細情報を含むインシデント更新ページを公開しました。Instructureは、Canvasポータルが再び正常に機能していること、およびハッカーがFree-for-Teacherアカウントに関連する問題を悪用したと述べました。
「これは、前の週の不正アクセスにつながった同じ問題です」とInstructureは書きました。「その結果、Free-for-Teacherアカウントを一時的にシャットダウンするという困難な決定を下しました。これらのアカウントは、プラットフォームのコア部分であり、これらのアカウントの問題を解決することに取り組んでいます。」
Instructureは、影響を受けた組織が5月6日に通知されたと述べました。
「貴社が影響を受けている場合、Instructureは貴社の主要な連絡先に直接連絡します」と更新は述べています。「これらのリストが検証されていないため、潜在的に影響を受けた組織の名前を付けたサードパーティのリストまたはソーシャルメディアの投稿に依存しないでください。Instructureは、影響を受けたすべての組織への直接的なアウトリーチを通じて、検証済みの情報を確認します。」
更新、5月11日午後10:16 ET:Instructureは、盗まれたデータを破壊することの約束と引き換えに、恐喝者に支払ったことを述べる更新を投稿しました。「データは私たちに返されました」と更新は述べています。「私たちはデータ破壊のデジタル確認(シュレッドログ)を受け取りました。このインシデントの結果として、Instructureの顧客は公にまたはその他の方法で恐喝されないと知らされています。」
翻訳元: https://krebsonsecurity.com/2026/05/canvas-breach-disrupts-schools-colleges-nationwide/
