Instructure、LMS「Canvas」への攻撃で身代金を支払──2億7500万人分のデータ保護を優先
北米の高等教育機関の4割が利用するCanvasが2度の攻撃を受け、異例の身代金支払いに踏み切ったことで、SaaS運営者のインシデント対応の是非が問われている。
リリース: 2026-05-11 · 読了 3 分何が起きた
Instructureは、ハッカー集団「ShinyHunters」に対し、Canvasのユーザー2億7500万人分のデータ破壊を条件に身代金を支払った。
北米の高等教育機関の41%にあたる8,800以上の組織が影響を受け、期末試験の延期などの実害が発生した。
ハッカー側は学生や教職員間の数十億件のプライベートメッセージを含む個人情報を取得したと主張している。
Instructureは当初の攻撃に対しセキュリティパッチで対応したが、数日後に2度目の侵入を許し、サービス停止に追い込まれた。
なぜ重要
「身代金を支払わない」という鉄則を破る決断が、大規模SaaSにおける「データ保護」と「攻撃者への資金提供」のジレンマを浮き彫りにした。
一度パッチを当てても執拗に狙われる大規模プラットフォームの脆弱性と、インシデント時のコミュニケーションの重要性が再認識された。
👁️ 開発者
SaaS開発者やSREは、単なるパッチ適用だけでなく、攻撃者による「再侵入」を前提とした監視体制と、ユーザーへの透明性の高い情報公開フローを整備すべきである。
🇯🇵 日本
[国内 EdTech SaaS 業種] や [大規模学習プラットフォーム] を運営する国内企業は、海外での身代金支払いの前例を受け、自社のサイバー保険の適用範囲やインシデント対応マニュアルを「支払い可否」の観点で見直す必要がある。