サイバー脅威
Instructure Canvas の情報漏洩とは?影響・リスクと教育機関が取るべき対応
Instructure Canvas の情報漏洩は、世界中の大学、K–12 学区、教育病院に影響を及ぼしています。本記事では、その背景と実務的な指針を解説します。
概要
2026年5月、攻撃者 SHADOW-AETHER-015 は、50か国にわたる 8,809 件の Canvas 顧客データを公開しました。これは、親会社である Instructure のプラットフォームに対するバックエンド侵害と見られています。この情報漏洩は、アイビーリーグ8校を含む世界中の大学、K–12 学区、教育病院に影響を及ぼしています。Canvas には、医療上の配慮申請やアドバイザーとの非公開のやり取りなど、機微な個人情報が保存されているため、最大のリスクは、実在する機関情報を悪用した極めて精度の高い標的型フィッシング(スピアフィッシング)です。当面のリスクとして、後続のソーシャルエンジニアリング、認証情報の悪用、標的型フィッシング攻撃が挙げられます。
学習管理システム(LMS)が侵害された場合、その影響は技術的な領域にとどまりません。Canvas は、学生が医療上のニーズを共有し、アドバイザーに支援を求め、学業生活の中でも極めて個人的な局面を乗り越えていく場でもあります。Canvas の親会社である Instructure における情報漏洩が確認されたことは、これらのシステムに託された機微な情報が、現在では悪意ある第三者の手に渡っている可能性があることを意味します。本記事では、何が起きたのか、それが実務上どのような意味を持つのか、そして次に何をすべきかを整理します。
Canvas を運用する数千もの機関のセキュリティチームおよび IT チームでは、すでに対応が進められています。本記事は、明確なインテリジェンス、率直な状況整理、そして実務的な指針を提供することで、こうした取り組みを支援することを目的としています。
Instructure Canvas の情報漏洩とは何か?
Canvas は、世界中で数千万人にのぼる学生と教員に選ばれている学習管理システム(LMS)です。授業課題の配布、成績の記録、数十種類のサードパーティ製ツールとの API 連携の管理に加え、学生と教員、アドバイザー、サポートスタッフ間の非公開のやり取りを担うという、極めて重要な役割も果たしています。
TrendAI™ Research によれば、攻撃者 SHADOW-AETHER-015 は、8,809 件の教育機関名を含む文書を公開しました。これはほぼ確実に、Canvas LMS の顧客アカウントおよびインスタンスのダンプデータとみられます。何が侵害されたのかの全容は現在も調査中ですが、教育機関の日常において Canvas が果たす役割の性質を考えると、本件のデータ流出は、一般的なプラットフォーム侵害よりも機微性の高い事案と言えます。
- Canvas には、通常以上に機微な個人情報が保管されています。学生は、配慮申請のために医療上の状態を開示したり、アドバイザーに個人的な事情を共有したり、支援者とやり取りしたりしています。
- 本件の漏洩により、極めて説得力の高い後続攻撃が可能になります。攻撃者は、実名、機関のメールアドレス、授業の文脈、非公開のメッセージ履歴を手にしている可能性があり、機関からの正規の連絡とほとんど区別がつかないフィッシングメッセージを作成できるようになります。
- API 連携が影響を拡大させます。Canvas は API キーを通じて数十種類のサードパーティアプリケーションと接続しているため、本件の漏洩により、各機関はすべての外部連携を再認証せざるを得なくなりました。その結果、期末試験期間中に多くの機関が依存していたツールに支障が生じています。
- 影響は世界規模かつ業界横断に及びます。Canvas は K–12、高等教育、さらには医学部プログラムを介して医療機関にも組み込まれています。波及するリスクは、特定の機関種別や地域にとどまりません。
影響を受けた機関のうち 94.6%(8,335 機関)を米国が占めています。北米以外で最も大きな影響を受けた国は、オーストラリア(122)、英国(70)、ブラジル(29)です。合計で 46 か国が含まれています。
8,809 件のエントリのうち、確認されている内訳には、アイビーリーグ全 8 校、主要な州立大学システム、Oxford、Cambridge、NUS、University of Melbourne など国際的に著名な機関を含む 2,514 の高等教育機関が含まれます。また、Clark County(ラスベガス)、Houston ISD、Miami-Dade などの大規模都市学区を含む 1,616 の K–12 学区も確認されています。
データに開発環境、UAT、ステージング環境のインスタンスが含まれていることは、バックエンドインフラへのアクセス、もしくはプラットフォームレベルでの侵害を示唆しています。これは、表層的な攻撃とは一線を画す重要な特徴です。
SHADOW-AETHER-015 はどのように攻撃を実行したのか?
この恐喝グループは中〜高水準の能力を有しています。大規模なプラットフォームデータを抽出している点から、バックエンドシステムへのアクセス、または高度な API 悪用の能力を持つことがうかがえます。
SecurityWeek によれば、SHADOW-AETHER-015 は 2025 年の Instructure の Salesforce 環境の侵害にも関与しており、その結果、数百万件のデータレコードが侵害・漏洩しました。報告されている同グループの手口は、信頼された第三者連携を悪用して、より価値の高い標的に到達するというものです。
Canvas の情報漏洩を受けた機関は、次にどのようなサイバー攻撃を想定すべきか?
本件漏洩における最大のリスクは、すでに起きたことそのものではなく、これから起きることにあります。大規模なデータ流出が発生した後の数週間には、通常、次のような事象が発生します。
- 実際のコース名、アドバイザー、学生の事情に言及するなど、実在する機関情報を悪用した標的型フィッシング(スピアフィッシング)キャンペーンが、教員、職員、学生を標的に展開されます
- 機関のシステムに対する認証情報の悪用が試みられます。特に、Canvas の認証情報が他の社内アカウントと共通している場合に顕著です
- 医療情報や個人的事情などの機微な個人情報が Canvas 上のメッセージに含まれていた個人を狙った、標的型ソーシャルエンジニアリングが行われます
大規模な大学院・専門職プログラムを抱える機関では、リスクがより高まります。リストに含まれる Weill Cornell Medical College、University of Nebraska Medical Center、複数のブラジルの病院システムなどの医療機関は、対応計画の一環として HIPAA への影響を想定すべきです。未成年の児童・生徒のデータが含まれていることから、K–12 機関では FERPA および COPPA に関する義務への対応が不可欠です。
Canvas 漏洩後、教育機関はどのように自らを守ればよいか?
漏洩後のソーシャルエンジニアリングを検知するには、アタックサーフェス全体にわたるコミュニケーション挙動を相関分析する必要があります。既知の悪性指標によるフィルタリングだけでは不十分です。正規の機関データから組み立てられた攻撃には、そうした指標が現れないからです。
重要かつ機微なデータを保有するすべての組織には、プロアクティブなアプローチが求められます。具体的には、アタックサーフェスの全容を把握し、リスクのある資産を特定して優先順位付けを行い、攻撃者が取りうる攻撃経路を可視化し、漏洩リスクを低減する緩和策を導入することです。
次に起こる事象は、明確な前兆を伴って現れるわけではありません。見慣れた名前から届く、実際のコースや実際の会話に言及したメッセージのように見えるでしょう。最善の防御策は、フィルタリングの高速化ではなく、より広範な可視性です。環境全体のシグナルをつなぎ合わせ、問題化する前に違和感のある事象を捉えることが鍵となります。
TrendAI™ のお客様は、Canvas 関連の活動についてすでに監視対象となっています
TrendAI™ Research では、大規模な教育分野のデータ流出後に典型的に発生する標的型フィッシング(スピアフィッシング)キャンペーン、認証情報の悪用パターン、ソーシャルエンジニアリング活動を継続的に追跡しています。得られたインテリジェンスは、TrendAI Vision One™ の保護機能に直接反映されます。これにより、お客様は自社環境内で発生している事象だけでなく、リサーチチームがグローバルな脅威動向の中で捉えている知見の恩恵も受けることができます。
TrendAI™ Research について
数十年にわたる人的インテリジェンスに、サイバーセキュリティへのAI応用の20年近い実績が加わったことで、TrendAI™ Research のチームは、攻撃者がどのように動くのか、誰を狙い、どのように移動し、得たものをどう使うのかについて、他に類を見ない深い洞察を有しています。本件のような事案において活かされるのが、この先見性です。すでに起きたことを理解するためだけでなく、組織がこれから起こることに先んじて動けるよう支援します。
よくある質問:Instructure Canvas の情報漏洩
以下では、本件 Canvas 漏洩について教育機関、学生、セキュリティチームから寄せられている質問にお答えします。
自分の大学・学校は Canvas 漏洩の影響を受けていますか?
TrendAI™ Research は、漏洩データに含まれる 50か国 8,809 機関を特定しました。リストには、アイビーリーグ全 8 校、米国の主要な州立大学システム、1,616 の K–12 学区、Oxford、Cambridge、NUS、University of Melbourne などの国際的な機関が確認されています。
Instructure Canvas の漏洩でどのようなデータが盗まれたのですか?
流出したデータは、教育機関およびユーザが Instructure の Canvas プラットフォーム上に保存・やり取りしていた情報です。個人を特定可能な情報(PII)が含まれている可能性が高く、Canvas が教育において果たす役割を踏まえると、医療上の配慮申請、アドバイザーとの非公開のやり取り、機微な個人情報が含まれている可能性があります。一方で、各機関の内部 IT システムへのアクセスは含まれません。
Canvas 漏洩によって学生の医療情報は流出しましたか?
Canvas は、学生が配慮申請のために医療上の状態を開示したり、アドバイザーや支援者と非公開でやり取りしたりする目的でも一般的に利用されています。これらのやり取りも、本件漏洩の対象範囲に含まれる可能性が高いと考えられます。各機関では、本件を機微な個人情報の流出の可能性ある事案として扱い、関係するコミュニティに対して適切に情報提供を行う必要があります。
自機関の社内ネットワークは侵害されていますか?
いいえ。本件漏洩は Instructure の Canvas プラットフォームに対するものであり、各機関の内部システムが侵害されたわけではありません。本件によって攻撃者が貴機関の内部環境に直接アクセスできるわけではありません。ただし、流出したデータを用いることで、極めて説得力の高いフィッシングやソーシャルエンジニアリング攻撃が可能となり、対策を講じなければ認証情報の侵害につながるおそれがあります。
Canvas 漏洩後、教育機関は何をすべきですか?
直ちに行うべき対応は次のとおりです。実在するコース名やアドバイザー名に言及する、極めて説得力の高いフィッシングメールが届く可能性があることを、職員、教員、学生に注意喚起してください。Canvas の API 連携を見直し、再認証を行います。Canvas の認証情報が他の社内システムと共通していないかを監査し、多要素認証(MFA)を徹底します。K–12 および医療機関では、FERPA、COPPA、HIPAA に関するコミュニケーション計画の策定を開始すべきです。さらに、下流の脅威活動の監視のために TrendAI™ の活用を検討してください。
攻撃者 SHADOW-AETHER-015 とは何者ですか?
SHADOW-AETHER-015 は中〜高水準の能力を有する攻撃者です。その手口は、信頼された第三者連携を悪用して、より価値の高い標的に到達するというものです。TrendAI™ Research では、本グループを継続的に追跡しています。
参考記事
What Is the Instructure Canvas Breach? Impact, Risks, and What Institutions Should Do
By:Johnny Hand
翻訳:与那城 務(Platform Marketing, Trend Micro™ Research)