Instructure、LMS「Canvas」を復旧──2.7億人規模のデータ流出脅迫を受け無料版を一時停止
ハッカー集団 ShinyHunters による「Free-For-Teacher」アカウントの脆弱性悪用を受け、サービスを一時停止。5月12日のデータ公開期限を前に、無料提供を止めて被害拡大を防ぐ。
リリース: 2026-05-07 · 読了 2 分何が起きた
ハッカー集団 ShinyHunters が Instructure 社の LMS「Canvas」に侵入し、2億7,500万人分の学生・教職員データを奪取したと主張。
攻撃者は「Free-For-Teacher」アカウントに関連する脆弱性を悪用しており、Instructure は同機能を一時的に完全閉鎖した。
流出が疑われるデータには、氏名、メールアドレス、ID 番号、メッセージ履歴が含まれ、影響範囲は 9,000 校に及ぶとされる。
Canvas の主要システムは復旧したが、ベータ版やテスト環境、無料アカウント機能は 2026年5月7日時点でメンテナンスモードを継続。
なぜ重要
「無料版アカウント」が攻撃の足場となり、有料顧客を含むプラットフォーム全体が停止に追い込まれた。
SaaS 運営において、PLG(Product-Led Growth)目的の無料枠がセキュリティ上の最大リスクになり得ることを示す典型例。
👁️ 開発者
SaaS 開発者は、無料枠と有料枠の認証・認可ロジックを物理的・論理的に分離し、無料版の脆弱性がエンタープライズ顧客に波及しないアーキテクチャを再検証すべき。
🇯🇵 日本
国内の大学やインターナショナルスクールで Canvas を導入している組織は、5月12日の期限までに自組織が ShinyHunters の公開リストに含まれていないか確認し、ID 管理の棚卸しを急ぐ必要がある。