学生2億3100万人分のデータが人質に

学校のログイン画面に、突然見知らぬメッセージが現れた。「交渉に応じなければ、5月12日にデータを公開する」——その画面の向こうには、2億3100万人分の子どもたちの名前、メールアドレス、そして教師とのやり取りが詰まったファイルが存在する。

何が起きたのか：二度目の侵害という異例の事態

教育テック大手のInstructureは、学校向け学習管理プラットフォーム「Canvas」を運営しています。世界中の学校が課題の管理や成績の記録、教師と生徒のコミュニケーションにこのプラットフォームを利用しており、その規模は約9,000校に及びます。

今週火曜日、同社は最初のデータ侵害を公表しました。ハッカーグループShinyHuntersが生徒の氏名、個人メールアドレス、教師と生徒間のメッセージを盗み出したというものです。しかしその直後、事態はさらに深刻な段階へと進みました。

TechCrunchの報道によると、3つの学校のCanvasログインページが改ざんされ、ShinyHuntersからのメッセージが表示される状態になりました。ハッカーたちはHTMLファイルを注入してログイン画面を書き換え、Instructureに「交渉による和解」を求める脅迫文を掲載したのです。これは最初の侵害とは別の、二度目の独立した攻撃だとShinyHuntersのメンバーはTechCrunchに語っています。

事件発覚時、Instructureのウェブサイトは「リクエストが多すぎる」というエラーを返すなど不安定な状態が続き、Canvasのポータルには「定期メンテナンス中」という表示が出ていました。同社はコメントの求めに応じていません。

なぜ今、これが重要なのか

広告

広告掲載について

[email protected]

広告

ShinyHuntersは過去数年にわたって同じ手口を繰り返してきたグループです。侵害→公表→恐喝という流れは彼らの「定番の手法」であり、今回もその延長線上にあります。しかし今回が異なるのは、標的が教育機関であるという点です。

企業が侵害を受けた場合、被害を受けるのは主に成人の顧客です。しかし学校のデータには未成年者の情報が含まれており、その扱いには各国で特別な法的保護が設けられています。日本においても、個人情報保護法の改正により未成年者データの取り扱いは厳格化されており、教育機関のサイバーセキュリティは以前にも増して重要な課題となっています。

また、盗まれたデータの中に「教師と生徒間のメッセージ」が含まれているという点も見逃せません。成績や氏名といった静的な情報と異なり、会話の内容は文脈を持ちます。いじめの記録、学習上の悩み、家庭環境に関する相談——そうした繊細な情報が、見知らぬ者の手に渡る可能性があるのです。

学校・保護者・企業、それぞれの立場から

学校側の視点から見れば、今回の事件は「使っているサービスを信頼することのリスク」を改めて突きつけています。Canvasは多くの学校にとって日常業務の中核を担うシステムです。代替手段への移行は容易ではなく、交渉が長引けば長引くほど、在籍する生徒たちのデータが危険にさらされ続けます。

保護者の立場では、子どもの情報がどこにあり、誰が管理しているかを知る手段がほとんどないという現実があります。学校がどのサービスを利用しているかを把握している保護者は少なく、侵害が起きて初めてその存在を知るケースも多いでしょう。

一方、Instructureのような教育テック企業にとっては、今回の事件が業界全体の信頼性に影響する可能性があります。競合他社も含め、教育機関向けのSaaSプロバイダーはセキュリティ投資の見直しを迫られるかもしれません。

日本国内では現在、Google ClassroomやMicrosoft Teams for Educationなど海外製プラットフォームの採用が進んでいます。今回の事件は、海外サービスへの依存リスクを再考するきっかけとなり得ます。文部科学省が推進するGIGAスクール構想の文脈でも、データの保管場所や管理責任の所在をより明確にする議論が必要になるかもしれません。