学校や大学で授業資料の配布、課題の提出、成績管理、教員と学生の連絡などに使われている学習管理システム「Canvas」が、サイバー犯罪グループ「ShinyHunters」によるデータ恐喝攻撃を受け、アメリカ全土の学校や大学で一時的に利用できなくなる事態が発生しました。

Instructure Status - Confirmed Security Incident

https://status.instructure.com/incidents/9wm4knj2r64z

Canvas Breach Disrupts Schools & Colleges Nationwide - Krebs on Security

https://krebsonsecurity.com/2026/05/canvas-breach-disrupts-schools-colleges-nationwide/

Canvas login portals hacked in mass ShinyHunters extortion campaign

https://www.bleepingcomputer.com/news/security/canvas-login-portals-hacked-in-mass-shinyhunters-extortion-campaign/

Canvas outage wreaks havoc for students during college finals | AP News

https://apnews.com/article/canvas-outage-college-students-exams-grades-209a51692f043a959459dbe37fb34e4b

Canvasは、大学の講義ページや小中高のオンライン学習環境として広く使われているサービスです。学生はCanvas上で教材を読み、課題を提出し、テストやディスカッションに参加します。教員はCanvas上で採点や連絡を行うため、Canvasが止まると単なる「ウェブサイトの障害」では済まず、授業運営そのものが止まる可能性があります。

Canvasを運営するInstructureは2026年4月29日に不正アクセスを検知し、調査を行っていました。Instructureは5月2日の時点で、盗まれた可能性がある情報について、氏名、メールアドレス、学生ID番号などの識別情報や、ユーザー間メッセージが含まれると説明していました。一方で、パスワード、生年月日、政府発行ID、金融情報など、より機密性の高い情報が含まれていた証拠は見つかっていないとしています。

Instructureは当初、問題は封じ込め済みでCanvasは通常通り稼働していると説明していましたが、5月7日にはShinyHuntersのメッセージがログイン画面に表示される事態になりました。Instructureは、2026年5月7日に一部ユーザーの画面に不正なメッセージが表示されたことを受け、調査と封じ込めのためCanvasをメンテナンスモードに切り替えたと説明しています。

CanvasのログインページにはShinyHuntersを名乗る攻撃者の身代金要求メッセージが表示され、約9000の教育機関に所属する学生・教職員のデータを流出させると脅していたとのこと。今回の障害はアメリカの多くの学校が期末試験期間を迎えているタイミングで発生したため、一部の大学では試験や課題提出への影響が報告されました。

ShinyHuntersは、データを盗み出して企業や組織に身代金を要求することで知られるサイバー犯罪グループです。今回の攻撃では、攻撃者がInstructureに対して支払いを求めただけでなく、影響を受けた学校にも「データ公開を避けたい場合は個別に交渉するように」と呼びかけていたとされています。支払い期限は当初5月6日とされていましたが、後に5月12日へ延長されたとのこと。攻撃者は約9000校、約2億7500万人分のデータが関係すると主張していますが、攻撃者側の主張する人数やデータ量は、現時点で独立した検証が完了しているわけではありません。



Instructureは不正アクセスの原因の1つとして、教育者が無料でCanvasを利用できる「Free for Teacher」環境のサポートチケットに関する脆弱性を挙げています。Instructureは、4月29日に検知した不正アクセスと5月7日の不正アクセスが同じ問題に関連していたと説明し、Free For Teacherアカウントを一時的に停止しました。さらに、権限のある認証情報やアクセストークンの無効化、内部キーのローテーション、トークン作成経路の制限、監視強化などの対策を実施したとしています。外部のフォレンジック調査会社としてCrowdStrikeを起用し、FBI、CISA、国際的な法執行機関にも通知したとのことです。

Instructureの対応をめぐっては、説明の仕方にも批判が出ています。セキュリティ系メディアのKrebsOnSecurityは、Canvasが攻撃者のメッセージを表示した後、Instructureがポータルを「予定されたメンテナンス」と表示した点を問題視。セキュリティ企業Cloudskopeのディパン・マン氏は、攻撃による停止を予定されたメンテナンスのように見せた対応を批判し、5月2日に「封じ込め済み」とされた説明が5月7日の再侵入と整合しないと指摘しました。ただし、Instructureは5月9日の更新で、利用者に対して「より一貫したコミュニケーションを提供できなかった」と謝罪し、今後は専用のインシデント更新ページで確認済みの情報を公開するとしています。

ShinyHuntersは過去にも大規模なデータ窃取や恐喝で名前が挙がってきたグループで、IT担当者などを装う音声フィッシングやソーシャルエンジニアリングを用いて企業へ侵入することが多いとのこと。ShinyHuntersはこれまでADT、Medtronic、Rockstar Games、McGraw Hill、7-Eleven、Carnivalなどへの攻撃を主張してきました。Google傘下のサイバーセキュリティ企業Mandiant Consultingのチャールズ・カーマカル氏は、Canvasの件に個別コメントは避けつつ、ShinyHuntersによる複数の侵入・恐喝キャンペーンが同時進行していると述べました。

2026年5月9日の更新で、InstructureはCanvasが完全に復旧し利用可能になっていると説明しています。ただし、関係するデータの範囲や対象となる顧客ごとの詳細については調査中であり、確認には数週間かかる見込みとのこと。学生、保護者、教職員に対しては、学校や教育機関からの公式連絡を確認し、今回の事件に便乗した不審なメールやメッセージ、偽のログインページに注意することが求められています。