2026年6月16日(火)UTC 10:11 — 教育テクノロジー(EdTech)セクターが、サイバー犯罪者の主要な攻撃対象となっています。教育機関および関連プラットフォームへの攻撃は、深刻度を増す一方です。生徒の記録、従業員情報、決済データといった機密情報がEdTechシステムに蓄積されていることから、金銭的利益やデータ悪用、評判の毀損を狙うサイバー犯罪者にとって、このセクターは格好の標的となっています。
ShinyHuntersやFulcrumSecといったグループによる最近の大規模インシデントは、教育機関の脆弱性と、サイバー恐喝の手口が高度化している実態を浮き彫りにしています。
EdTech・教育機関を狙った最近の主要攻撃事例
ShinyHuntersによるEdTechプラットフォームへの攻撃
Eコマースや医療プラットフォームへのサイバー攻撃で知られる悪名高いハッキンググループShinyHuntersが、最近その活動範囲をEdTech企業にまで拡大しています。過去数か月の間に、同グループは複数のEdTechプラットフォームへの侵入を果たし、生徒の氏名・住所・メールIDをはじめとする個人識別情報(PII)を含む数百万件のユーザーレコードを窃取したと報告されています。
ある攻撃では、世界中の学校が利用するオンライン学習管理システム(LMS)に侵入し、400万人以上の生徒と教育者のPIIを流出させました。盗まれたデータはダークウェブのマーケットプレイスで売りに出されており、数百万人が個人情報の盗用やフィッシング攻撃のリスクにさらされています。
セキュリティアナリストによると、ShinyHuntersの典型的な手口は、脆弱なAPIエンドポイントや保護されていないクラウドデータベースを悪用するというものです。こうした脆弱性は、セキュリティよりも拡張性を優先してサービスを急速にスケールアップしているEdTechプラットフォームで広く見られます。
教育セクターは、かつてない規模のサイバー攻撃にさらされています。学校や大学がStudent Information Systems(SIS)からCanvasやPowerSchoolなどの学習管理システム(LMS)まで、クラウドベースのEdTechプラットフォームを急速に導入するにつれ、サイバー犯罪者にとって高価値のターゲットとなってきました。攻撃は業務を混乱させるだけでなく、数百万人の生徒と教育者の機密データを流出させており、教育テクノロジーのセキュリティとガバナンスに関する緊急の問題を提起しています。
同グループはまた、3月に広く利用されているK-12向け生徒情報システム「Infinite Campus」を標的としたSalesforceデータ窃取攻撃で、13万7,000人以上の学校職員アカウントの個人情報を盗み出しました。Infinite Campusは、米国46州の3,200以上の学校区に生徒情報システム(SIS)を提供し、1,100万人の生徒のデータを管理するEdTech企業です。
– グレンデール・コミュニティ・カレッジ
– ムーディー聖書学院
– イリノイ・セントラル・カレッジ
– ヒューストン・シティ・カレッジ
FulcrumSecがGlobal Schools Foundationへのランサムウェア攻撃を主張
別の深刻なインシデントでは、サイバー恐喝グループ FulcrumSecが、シンガポールに本部を置く国際的な教育機関ネットワークGlobal Schools Foundation(GSF)への大規模なランサムウェア攻撃の実行を主張しています。
2026年6月初頭に発生したこの攻撃により、複数国にわたるGSFの学校で基幹システムが暗号化され、業務が停止。生徒と教職員は必要不可欠なサービスにアクセスできない状態に追い込まれました。FULCRUMSECは、暗号化されたデータへのアクセスを回復させ、攻撃中に窃取した機密情報の公開を防ぐ代わりに、身代金を要求したと報告されています。
攻撃者によると、「私たちは5月初旬にGSGに連絡を取り、公正な和解案を提示した。参考までに申し上げると、私たちの要求額は、同校のシンガポールキャンパスで1クラス分の生徒が1年間支払う学費にも満たない金額だ。Apollo社のコミット資本の0.17%にすぎない。どの指標で見ても、GSGが今や直面している規制上・法的なリスクのほんの一部に過ぎない」とのことです。注目すべきは、今回攻撃者が身代金の水準を算定するにあたり、GSGに出資する米国の資産運用会社Apollo Global Managementを間接的に参照したという点です。
情報筋によると、盗まれたデータには生徒の記録だけでなく、財務取引の詳細、雇用契約、保護者と学校管理者間のやり取りといった機密情報も含まれています。FulcrumSecは身代金が支払われなければリークサイトにデータを公開すると脅しており、ランサムウェアグループの間でますます一般的となっている二重恐喝の手口を駆使しています。
同グループはAWS・MongoDB・GCPなどのクラウド環境に保存された機密データを標的とし、身代金が支払われなければ窃取した情報を公開すると脅迫します。LexisNexisのクラウド環境の侵害や、オーストラリアのフィンテック企業youXへの攻撃など、複数の大規模侵害との関連が指摘されています。
GSFの対応
Global Schools Foundationは公式声明でこの攻撃を認め、次のように述べています。
「私たちはサイバーセキュリティの専門家および法執行機関と緊密に連携し、システムへのサイバー攻撃に対処しています。生徒と教職員のプライバシーとセキュリティを守ることが最優先事項であり、このインシデントの影響を軽減するために必要なすべての措置を講じています。」
シンガポールおよびその他の被害国の当局が調査を開始する中、GSFを支援するサイバーセキュリティの専門家たちは、今回のランサムウェアが高度に洗練されたものであると説明しています。
EdTechが格好の標的とされる理由
教育セクター、特にEdTech企業がサイバー犯罪者にとって格好の標的となっているのは、いくつかの要因があります。
-
豊富な機密データ:EdTechシステムには生徒の記録、教員データ、決済情報など、大量の個人・財務情報が蓄積されており、個人情報窃取や金融詐欺に悪用できる価値があります。
-
急速なデジタルトランスフォーメーション:新型コロナウイルスのパンデミックがデジタル学習プラットフォームの普及を加速させましたが、多くの組織はセキュリティよりも拡張性を優先したため、システムが攻撃に対して脆弱な状態で放置されました。
-
セキュリティリソースの不足:多くの教育機関やEdTech企業は、強固なサイバーセキュリティ対策を実施するための財務的・技術的リソースが不足しており、他の業界と比べて攻撃しやすい標的となっています。
-
二重恐喝の手口:サイバー犯罪者はデータを暗号化する前に窃取し、要求に応じなければ公開すると脅す二重恐喝の手口をますます多用するようになっています。この手法は、組織に身代金を支払わせるうえで非常に効果的であることが実証されています。
-
グローバルな影響範囲:多くのEdTech企業や教育機関はグローバル規模で運営されているため、侵害が発生した場合は複数の国や管轄にわたって生徒・保護者・教育者に影響が及び、被害が大きくなります。
サイバー恐喝グループの脅威の高まり
ShinyHuntersやFulcrumSecのようなグループは、サイバー犯罪の進化する姿を体現しています。こうした攻撃者たちは高度なツールと戦略を駆使し、クラウドシステム・レガシーインフラ・不十分なセキュリティのAPIに存在する脆弱性を突いて活動しています。
ShinyHunters――執拗なデータ侵害の脅威
ShinyHuntersは大規模なデータ侵害で悪名を馳せており、EdTechへの標的を広げた動きは、サイバー犯罪者が新たなビジネスチャンスにいかに素早く適応するかを示しています。同グループの攻撃の特徴は以下の通りです。
- APIの標的型悪用:安全でないエンドポイントを突いてデータを窃取。
- データベースの設定ミスの悪用:保護されていないクラウドデータベースへの不正アクセス。
- 盗んだデータの売却:ダークウェブのマーケットプレイスで窃取した情報を換金。
FulcrumSec――ランサムウェアと二重恐喝の使い手
一方のFULCRUMSECは、二重恐喝の手口を組み合わせたランサムウェア攻撃を専門としています。その活動には次のような特徴があります。
- 高度なランサムウェアツール:身代金を支払わなければ復号が困難な、カスタマイズされた暗号化技術の使用。
- クリアネットまたはTOR上のリークサイト:盗んだデータを公開することで被害者への圧力を強化。
- 巧みなラテラルムーブメント:相互接続されたシステム全体にランサムウェアを拡散させ、被害を最大化。
両グループは信頼性の高い実績を持つ脅威アクターです。特筆すべきは、被害組織であるGSGが当初、ShinyHuntersが同一のデータを以前に取得しており、こちらも恐喝を行っていると主張していた点です。GSGは「ShinyHuntersからデータベース全体を見せられた」と述べていましたが、FulcrumSecがShinyHuntersに直接確認したところ、ShinyHuntersはGSGについてまったく知らないと回答しました。
EdTech・教育機関が取るべき対策
攻撃の頻度と深刻度が増す中、EdTech企業と教育機関がサイバーセキュリティを最優先事項として取り組むことが不可欠です。推奨される対策は以下の通りです。
-
インフラセキュリティの強化:APIやデータベースを含むすべてのシステムに対し、暗号化・アクセス制御・定期的な脆弱性評価を適切に実施してください。
-
脅威検知・対応への投資:高度な脅威検知ツールを導入し、インシデント対応計画を策定することで、攻撃の影響を迅速に抑え込めるようにしてください。
-
従業員トレーニングの実施:フィッシング・ソーシャルエンジニアリングなどの攻撃手法を従業員が認識できるよう、定期的なセキュリティ意識向上トレーニングを実施してください。
-
バックアップ・復旧計画の整備:ランサムウェア攻撃が発生した場合でも業務を継続できるよう、重要データのセキュアなオフラインバックアップを維持してください。
-
サイバー保険の活用:データ侵害やランサムウェア攻撃に伴う財務的損失および対応コストをカバーするサイバー保険の導入を検討してください。
まとめ
ShinyHuntersやFulcrumSecが関与した最近のインシデントが示すように、EdTechセクターへのサイバー攻撃が増加していることは、より強固なサイバーセキュリティ対策の緊急性を改めて浮き彫りにしています。教育機関とEdTech企業は、自分たちが保有するデータの価値を正しく認識し、そのデータを守るために必要なツール・プロセス・トレーニングに投資することが求められます。
サイバー犯罪者が手口を進化させ続ける中、政府・サイバーセキュリティ企業・教育機関が連携して脅威の先手を打ち、世界中の生徒と教育者のために安全なデジタル学習環境を確保することが不可欠です。
