2026年5月7日午後3時(米国中部夏時間)、サイバー犯罪グループShinyHuntersによるハッキングを受け、Canvasが世界中で停止した。
ホスト企業Instructureに対し5月12日までの連絡を要求するメッセージが各キャンパスのCanvas上に表示され、応じなければ学生データを流出させるとし、連絡手段としてインスタントメッセージアプリToxを指定した。
ウィスコンシン大学マディソン校のジョン・ザンブラネン プロボストは、教員の成績提出期限を5月11日から5月14日午後11時59分に延長した。Canvasは5月8日午後5時45分頃に同校で復旧した。先行する5月1日のInstructureへの攻撃では学生の氏名、メールアドレス、ID番号が侵害された。5月5日付TechCrunchによれば、ShinyHuntersは2億3,100万件のメールアドレスを窃取した。
北米の高等教育機関の約41%がCanvasを利用し、9,000校以上が影響を受けたと同グループは主張している。
From: 
Canvas hack shuts down operations at UW-Madison, worldwide – The Daily Cardinal
【編集部解説】
今回のCanvas停止事件は、単なる「ある大学のシステム障害」として処理してよいニュースではありません。実態は「世界の高等教育インフラが、一企業のセキュリティ依存によって同時多発的に麻痺した」という、教育DX時代の構造的脆弱性が初めて大規模に顕在化した事象です。
まず規模感を補足します。攻撃を受けたCanvas LMSは、グローバルで3,000万人超のアクティブユーザーと8,000以上の機関で利用される世界最大級の学習管理システム(LMS)です。北米高等教育機関の約41%が採用しており、被害を確認・報告している大学にはペンシルベニア大学(約30万6,000ユーザー分のデータが侵害対象とされる)、デューク大学、全ウィスコンシン大学キャンパスなどが含まれます。影響は米国にとどまらず、英国、オーストラリア、ニュージーランド、スウェーデン、オランダ(オランダ大学協会によれば44教育機関が影響)など複数国に及んでいます。
流出規模については、情報源によって数値が異なる点に注意が必要です。TechCrunchがShinyHunters本人から直接聴取したユニークメールアドレス数は2億3,100万件、同グループのリークサイト上の主張では合計3.65テラバイト・約2億7,500万人分のレコード・「数十億件のプライベートメッセージ」とされています。攻撃者側の数字は誇張される傾向があるため、確定値ではなく「主張ベース」として受け止める必要があります。
ここで重要な視点が、攻撃グループShinyHuntersの「進化」です。同グループは2019年頃に活動を開始したデータ窃盗集団でした。しかし2024年のSnowflake関連侵害(Ticketmaster 5億6,000万件、AT&T 1億1,000万件など)を契機に戦術を大きく転換しました。個別企業を狙うのではなく、多数の企業が共通利用する「クラウド基盤」「SaaS連携」「サードパーティ統合ツール」を狙う「サプライチェーン型」へとシフトしたのです。
Canvasへの攻撃も、まさにこのパターンの延長線上にあります。Instructure社という1社を侵害することで、9,000近い教育機関と数億人のユーザーへ一気に到達できる──ShinyHuntersにとって極めて「効率の良い」標的だったわけです。教育セクターは、デジタル化された個人情報の宝庫でありながら、企業ほどセキュリティ予算を確保できない弱点を抱えています。
特筆すべきは、攻撃の「演出」が二段構えだった点です。5月1日に最初の侵害でデータを窃取したのち、Instructureが「封じ込め完了」「Canvasは完全稼働」「セキュリティパッチ適用」と相次いで発表していた最中の5月7日、ShinyHuntersはCanvasのログイン画面そのものを書き換える形で再侵入を誇示しました。これは技術的攻撃というより、Instructureに対し「パッチでは封じ込められていない」ことを公開で示す心理戦と恐喝の側面を強く帯びています。
ポジティブに捉えれば、今回の事件は「教育インフラがいかに少数のクラウド事業者に依存しているか」を可視化し、EdTech業界全体に対する強烈な警鐘となりました。これまで教育機関は「学習効率」「利便性」を軸にLMSを選定してきましたが、今後はデータ主権、ベンダーロックインのリスク、インシデント時の事業継続計画(BCP)が選定基準に組み込まれていくはずです。
潜在的リスクとして見逃せないのが、生成AI時代における学習データの戦略的価値の上昇です。生徒と教員間のメッセージ、課題内容、評価データといった「学習プロセスの全記録」は、教育特化型AIモデルの訓練データとして極めて価値が高い資産です。今回流出が懸念される膨大なプライベートメッセージが闇市場でAI開発者へ流れる可能性も、長期的には警戒すべきシナリオでしょう。
規制への影響も避けられません。米国ではFERPA(家族教育権およびプライバシー権法)、EUではGDPR、日本では個人情報保護法と「教育データ利活用ロードマップ」が動いていますが、いずれも今回のような「グローバルSaaSベンダー経由の越境型侵害」が十分に想定されているかは疑問が残るところでしょう。日本でも文部科学省が推進するGIGAスクール構想やデジタル教科書の本格運用が進む中、海外プラットフォーム依存のリスクをどう管理するかは、近い将来議論されることになると考えられます。
長期的視点としてこの事件は、Canvasに代わる選択肢、オンプレミス回帰、分散型ID(DID)、暗号化された学習データ管理──次世代のEdTechアーキテクチャを構想するものとして記憶されることになるでしょう。
【用語解説】
LMS(Learning Management System / 学習管理システム)
コース教材の配信、課題提出、成績管理、教員と学生のコミュニケーションなどを統合的に行うWebプラットフォームの総称である。Canvasのほか、Moodle、Blackboard、Google Classroomなどが代表例だ。
SaaS(Software as a Service)
ソフトウェアをインストール販売するのではなく、クラウド経由でサービスとして利用者に提供する形態である。Canvasやその関連サービスもSaaS型で提供されており、1社のセキュリティ侵害が世界中の利用者に同時に波及する構造的特徴を持つ。
ShinyHunters
2019年頃に出現した金銭目的のサイバー犯罪・恐喝グループである。ダークウェブフォーラム「BreachForums」での盗難データ販売から活動を開始し、2024年のSnowflake関連大規模侵害以降は「単一のクラウド基盤を侵害して多数の顧客企業に到達する」サプライチェーン型攻撃へ戦術を進化させた。
ゼロトラスト
「社内ネットワークだから安全」「一度認証したから信頼できる」といった従来の境界型防御を捨て、すべてのアクセス要求を毎回検証するセキュリティモデルである。ShinyHunters型のクレデンシャル窃取攻撃への有効な対抗策として注目されている。
FERPA(家族教育権およびプライバシー権法)
1974年に米国で制定された連邦法で、生徒の教育記録のプライバシー保護を定めている。Canvas侵害のように学生データが流出した場合、教育機関側のFERPA準拠義務違反が問われる可能性がある。
BCP(事業継続計画)
災害、システム障害、サイバー攻撃などの緊急事態が発生した際に、中核業務を継続または早期復旧させるための計画である。今回のCanvas停止は、教育機関のBCPに「主要SaaSベンダーが長時間ダウンする」シナリオの組み込みを迫る事案となった。
BreachForums
盗難データの売買や情報交換が行われる英語圏のダークウェブ系フォーラムである。ShinyHuntersをはじめ複数の攻撃グループが活動拠点としてきた経緯がある。
【参考リンク】
Instructure 公式サイト(外部)
Canvas LMSを開発・運営する米国ユタ州拠点の教育テクノロジー企業。世界8,000以上の教育機関に提供している。
UW-Madison IT 公式インシデントページ(外部)
ウィスコンシン大学マディソン校情報技術部門による、今回のInstructure侵害に関する公式注意喚起ページ。
Tox 公式サイト(外部)
ShinyHuntersが連絡手段に指定したP2P型エンドツーエンド暗号化メッセージングプロトコルの公式情報。
Snowflake 公式サイト(外部)
クラウド型データプラットフォーム。2024年のShinyHunters関連顧客侵害の起点となった企業の公式サイト。
Ticketmaster 公式サイト(外部)
2024年にSnowflake経由で5億6,000万件の顧客データ流出が報じられたチケット販売大手の公式サイト。
Piazza 公式サイト(外部)
大学授業で広く使われるQ&A型コミュニケーションプラットフォーム。今回のCanvas停止中も稼働を継続したと報じられた。
Gradescope 公式サイト(外部)
Turnitin傘下の課題採点プラットフォーム。AI支援採点や手書き答案のデジタル採点に対応している。
Cengage 公式サイト(外部)
教科書・デジタル教材を提供する米国の大手教育出版社。一部学生がCanvas停止と連動してログアウトされたと証言。
文部科学省 GIGAスクール構想(外部)
日本における1人1台端末整備施策の公式情報ページ。学習データのクラウド化施策の全体像を確認できる。
【参考記事】
Hackers steal students’ data during breach at education tech giant Instructure(TechCrunch、2026年5月5日)(外部)
Instructureのデータ侵害公表直後の第一報。ShinyHunters本人から聴取したユニークメール2億3,100万件という具体的数値を含む。
Hackers deface school login pages after claiming another Instructure hack(TechCrunch、2026年5月7日)(外部)
5月7日のCanvasログインページ書き換えという「第二の侵害」を報じた続報。Instructureの一時停止判断にも触れる。
Over 300,000 Penn users affected in Canvas hack, cybercrime group claims(The Daily Pennsylvanian)(外部)
ペンシルベニア大学だけで約30万6,000ユーザー分が侵害対象になったと報じた現地学生紙の記事。
Millions of students’ personal data stolen in major education breach(Malwarebytes)(外部)
セキュリティ企業による解説記事。流出規模約2億7,500万件、影響機関8,809件などの具体数値を提示している。
Duke among 9,000 schools affected by Canvas cyberattack(The Duke Chronicle、2026年5月7日)(外部)
Instructureの「封じ込め完了」声明直後にShinyHuntersから再侵害を受けた経緯を時系列で整理している。
Ticketmaster’s Encore: How “ShinyHunters” Hacked the Show(Skyhigh Security)(外部)
ShinyHuntersの活動史と手口を詳細解説した記事。MFA未設定アカウント悪用などの攻撃手法を確認した。
【関連記事】
OpenAI×Instructureが教育AI提携、Canvas内で歴史人物のペルソナ機能実現(内部)
今回攻撃を受けたInstructure社が進めていた、Canvas内でのOpenAI連携。学習データのAI価値上昇という今回の論点と直結する背景記事。
PowerSchool大規模データ侵害事件:19歳大学生が6,000万人以上の生徒情報を盗み出し恐喝、有罪答弁へ(内部)
教育SaaS事業者への攻撃の先行事例。今回のInstructureインシデントと構造的に類似する重要事例。
Gmail 25億アカウント流出|ShinyHuntersがGoogle侵害、偽サポート詐欺が急増(内部)
攻撃グループShinyHuntersのSalesforce経由Google侵害事件。同グループの手口を理解する上で参考になる。
サイバー犯罪2大グループ「ShinyHunters」「Scattered Spider」連携、Salesforce経由恐喝攻撃の新展開(内部)
SaaS基盤を起点とした恐喝モデルへの戦術進化を解説。今回のCanvas事案の手口理解に直結。
ペンシルベニア大学メールシステム侵害:Salesforce Marketing Cloud経由で1.2百万寄付者データが標的に(内部)
今回のCanvas事案で約30万6,000ユーザー分の被害が報告されたペンシルベニア大学の先行侵害事例。
【編集部後記】
今回のCanvas停止は、遠い米国の大学だけの話に見えるかもしれません。けれど、私たちの暮らしを支えるサービスの多くも、実は少数のクラウドベンダーに支えられています。
みなさんが日々使うアプリやサービス、お子さんが通う学校で導入されているデジタル教材は、誰のサーバーに、どんな情報を預けているのでしょうか。便利さの裏側にある「依存先」を一度確かめてみると、未来の学びや働き方の景色が少し違って見えてくるかもしれません。一緒に考えていけたら嬉しいです。
