身代金を払ったら「解決」なのか？Canvas漏洩事件が問うもの

「データは返却された」——しかし、それで本当に終わりなのだろうか。

学習管理システム（LMS）の世界最大手のひとつ、Instructureが運営するCanvasが先週、ハッカー集団によるシステム侵害を受けた。同社は今週、攻撃者との間で「合意に達した」と発表し、盗まれたデータは返却され、「顧客が今回の事案によって恐喝されることはない」と約束した。しかし、その「合意」の具体的な内容——とりわけ身代金が支払われたかどうか——については、一切明らかにされていない。

何が起きたのか

今月上旬、ShinyHuntersと名乗るハッカー集団がCanvasのシステムへの侵入を宣言した。彼らが脅迫の材料として掲げたのは、3.5テラバイトにのぼる学生データ。これは膨大な量だ。テキストデータに換算すれば、数十億件の個人記録に相当しうる規模である。集団は「身代金を支払わなければデータを公開する」と通告し、Canvasは一時的にサービスをオフラインにする事態となった。

Instructureはその後、「ハッカーとの合意」によりデータが返却されたと発表した。しかし声明は意図的に曖昧だ。「合意」という言葉は、身代金交渉の事実を認めることなく事態を収束させるための、企業がしばしば用いる表現でもある。サイバーセキュリティの専門家たちはこの点を注視している。

ShinyHuntersは決して無名の集団ではない。過去にはTicketmaster、AT&T、Santander銀行など大手企業への攻撃で知られ、盗んだデータを実際に公開・販売してきた実績を持つ。今回の「約束」がどこまで信頼できるかは、客観的には不明だ。

「解決」の意味を問い直す

広告

広告掲載について

[email protected]

広告

この事件が日本の教育関係者にとって他人事でない理由がある。Canvasは世界8,000校以上の教育機関で使われており、日本国内でも大学や専門学校への導入が進んでいる。学生の成績、課題提出履歴、個人情報、場合によっては健康・福祉に関するデータまでが一元管理されているプラットフォームだ。

日本では2022年施行の改正個人情報保護法により、個人データ漏洩時の報告義務が強化された。もし日本の学生データが今回の侵害に含まれていた場合、Instructureおよび利用機関には法的な対応義務が生じる可能性がある。現時点で同社は影響を受けた具体的な機関名や地域を公表していない。

より根本的な問いは、「ハッカーとの合意」というアプローチ自体の是非だ。身代金を支払う（あるいはそれに類する取引をする）ことは、短期的には被害を抑えられるかもしれない。しかしそれは次の攻撃への資金提供にもなりうる。FBIを含む多くの法執行機関が身代金支払いを推奨しない理由はここにある。一方で、何百万人もの学生データが公開されるリスクを前にして、企業が「原則論」だけで動けるかという現実的な問題もある。

異なる立場から見ると

教育機関の視点からすれば、今回の事件は「ベンダー任せ」のリスク管理の限界を示している。自校の学生データがどこに、どのような状態で保管されているかを把握し、契約上のセキュリティ要件を明確にする必要性が改めて浮き彫りになった。

保護者・学生の視点では、「データが返却された」という発表をどこまで信じるべきかという疑念が残る。デジタルデータは物理的な物体と異なり、「返却」しても完全なコピーが残っている可能性を排除できない。

サイバーセキュリティ業界の視点では、ShinyHuntersのような集団が教育機関を標的にする傾向が強まっていることへの警戒感がある。教育機関はしばしば、金融機関と比べてセキュリティ投資が手薄であり、かつ大量の個人データを保有している——攻撃者にとって「コスパの良い」標的だ。

日本社会の文脈で言えば、集団的な信頼と制度への依存が強い分、こうした「見えない侵害」への心理的なダメージは大きい。学校というのは本来、最も安心して個人情報を預けられる場所のはずだからだ。