最近、サイバーセキュリティ関連の報道を席巻しているInstructure/Canvasのデータ漏洩事件が、新たな局面を迎えた。
何百万人もの学生の個人情報が盗まれ、身代金要求グループ「ShinyHunters」がこのデータ侵害の犯行を主張し、Canvasのユーザーに直接接触して嫌がらせを行うことで、身代金要求への圧力をさらに強めている。
その取り組みは実を結んだようだ。最近のデータ漏洩に関するInstructureのウェブページにある、2026年5月11日付の状況報告には次のように記されている:
「この件に関連するデータが公開される可能性について、多くのお客様が依然として強い懸念を抱かれていることを承知しております。このような状況がどれほど不安を招くものであるか、私たちも理解しており、コミュニティの保護は引き続き最優先事項です。」
「その責任を念頭に置き、Instructureは本件に関与した不正行為者と合意に達しました。」
これは、Instructure社がShinyHuntersに身代金を支払ったことを意味する。その資金の少なくとも一部は、ほぼ間違いなく今後のサイバー犯罪活動への資金源となるだろう。企業がランサムウェアや恐喝の要求に応じて身代金を支払うべきかどうかは、依然として議論の分かれる問題であり、ここではその議論を蒸し返すつもりはない。
理解できないのは、この更新情報の次の文です:
「データが返ってきました。」
それは安心させるための言葉かもしれませんが、サイバーセキュリティの世界において、データは借りたノートパソコンや置き忘れたフォルダのようなものではありません。一度コピーされてしまえば、何度でもコピーされ続ける可能性があるのです。
この点が重要なのは、今回の事件が一時的なアクセスに留まらなかったためです。Instructure社によると、不正アクセスにより、ユーザー名、メールアドレス、コース名、受講登録情報、およびメッセージが流出しました。
データは単に「返却」できるものではない
つまり、企業がデータを「返還」し、「シュレッダー処理の記録」を提示したとしても、真の問題は、攻撃者が依然として元のファイルを保持しているかどうかではありません。重要なのは、コピーが作成されたかどうか、そのコピーが共有されたかどうか、そして誰と共有されたかということです。つまり、本質的には、この侵害に伴う二次的なリスクが実際に排除されたかどうかが問われるのです。こうしたサイバー犯罪者は信頼関係を悪用して活動する傾向にありますが、デジタルデータには、確実に回収できる保証などないのです。
幸いなことに、Instructure社によれば、パスワード、生年月日、公的身分証明書番号、および金融情報は漏洩していないとのことです。しかし、氏名、メールアドレス、受講コースの詳細、プライベートメッセージといった情報は、ニュースの話題性が薄れた後も、標的を絞ったフィッシング攻撃やソーシャルエンジニアリングを助長するには十分すぎるほどです。
生徒やご家族の皆様には、当ブログの記事に掲載されている実用的なアドバイスが今も役立ちます:
- Canvas関連のパスワードをリセットする
- 可能な場合は、多要素認証を有効にしてください
- 子供が成長するにつれて、金銭面や信用面での動向を把握する
- 実在の学校、講座、または教師の名前を悪用した、高度に個人に合わせたフィッシング詐欺には十分注意してください
あなたの名前、住所、電話番号は、おそらくすでに売買されているでしょう。
データブローカーは、個人情報を収集し、対価を支払う者なら誰にでも販売しています。Malwarebytes Personal Data Remover 、そうしたブローカーをPersonal Data Remover 個人情報を削除し、その後も監視を続けることで、情報が再び流出しないようにします。
