9000校が一社に預けていた日。Canvasハック事件が暴いた『全部入り』の代償

期末試験の週に、大学の学習管理システムが消えた。

ログインしようとした学生の画面に表示されたのは、いつもの課題一覧ではなく、ハッキンググループ ShinyHunters からの脅迫メッセージだった。「Instructure に侵入した。5月12日までに交渉しなければ、全データを公開する」。Canvas という名前に聞き覚えがなくても、大学で何かしらのオンライン授業を受けたことがある人なら、あの「課題を提出して、成績を確認して、教材をダウンロードする」プラットフォームを思い浮かべられるだろう。Canvas は、その代表格だ。

学生の名前、メールアドレス、ID番号、メッセージ——流出したとされるデータは、学習プラットフォームが日常的に預かっているものそのものだった。影響を受けた学校は9,000校、対象となる学生・教職員は2億7,500万人に上ると報じられている。

この事件を知って最初に考えたのは、「怖い」でも「けしからん」でもなく、もっと地味な疑問だった。——これだけの規模のシステムが落ちたとき、代わりの手段を持っていた人はどれくらいいたのだろう。

「全部あの中にあったんです」
タイミングという残酷さ
「買う」という判断が生む見えない依存
攻撃者の合理性、防御側の構造
「全部入り」が壊れるとき
手元に残すという選択
参考
1. あわせて読みたい

「全部あの中にあったんです」

Hacker News に、ある大学教授のコメントがあった。自分はコンピュータサイエンスの教員で、学生の課題提出も成績管理も Canvas の外に自前の仕組みを持っている。だから今回の影響は軽微だった——と。

ただし、同僚たちの状況は違う。試験も課題も成績表も、すべてを Canvas に預けていた教員にとって、この障害は「研究室が建物ごと燃えて、中にあった試験用紙も成績簿も全部なくなった」のと同じだ、と。

対面授業をしている教員でさえ、試験の実施から採点まで Canvas の「クイズ」機能に移行していたケースが多いと、その教授は書いていた。つまり、オンラインか対面かという授業形式の問題ではなく、成績という最も重要なデータの所在地が一か所に集約されていた、という構造の問題だった。

別のコメントでは、MIT がかつて自前の学習管理システムを運用していたのに、最近 Canvas に乗り換えたという話も出ていた。「今頃後悔しているだろう」と。

タイミングという残酷さ

この障害が起きたのは、まさにアメリカの大学が期末試験の真っ最中というタイミングだった。

HN に書き込んだある保護者は、子どもがちょうど期末試験の週で、大学側は何も把握しておらず、Canvas は「定期メンテナンス中」と表示している、と書いていた。ある教授は「オフラインに教材のコピーを一切持っていない」と書き残したそうだ。同じ科目でも、セクションによっては紙の試験に切り替え、別のセクションでは Canvas ベースの試験がすでに終わっていた——同じ授業を取っている学生の間で、条件が変わってしまった、という証言もあった。

これは、確定申告の締め切り前日に TurboTax が「メンテナンス」に入るようなものだ、という HN コメントがあった。的確な比喩だと思う。システム障害の深刻さは、障害そのものの規模だけでなく、それが「いつ」起きたかで決定的に変わる。

期末試験は、やり直しがきかない。締め切りを延ばせば卒業判定に影響する。代替手段を即座に用意しなければならないが、教員は「Canvas に提出された課題を、学生から直接メールで送り直してもらう」よう指示された——とコメント欄には書かれていた。つまり、運営側にも復旧の見通しが立っていなかった、ということだ。

「買う」という判断が生む見えない依存

MIT の話が印象的だったのは、あの MIT ですら自前のシステムを手放して Canvas に移行した、という事実だ。技術的に自作できる組織でさえ、最終的には既成サービスに乗り換える——それくらい「買う」側の引力は強い、ということでもある。

ソフトウェアの世界には「Build vs Buy」という古典的な問いがある。自分で作るか、既成品を買うか。この10年ほど、振り子は明らかに「Buy」の側に振れてきた。コア事業に集中すべきだ、餅は餅屋に任せろ、車輪の再発明をするな——理屈は正しい。そして多くの場合、実際にうまくいく。

問題は、「うまくいっている間」にしか見えない風景がある、ということだ。

外部サービスに移行するとき、手放しているのは運用の手間だけではない。障害が起きたときに自分たちで直せるという選択肢も、同時に手放している。Canvas が落ちたとき、大学のIT部門にできることは何もなかった。待つしかない。9,000校が同じ一社のインフラに命綱を預けていて、その一社が攻撃を受けたら、9,000校が同時に止まる。

これは Canvas だけの話ではない。Slack が落ちた日のチームを思い浮かべれば、構造はだいたい同じだ。社内連絡もファイル共有も意思決定の履歴も、全部一つの場所に集約されていて、それが止まると業務の足元から崩れる。便利なサービスに乗れば乗るほど、自分たちの業務の「動き続ける力」が、自分たちの手の外に移っていく。

もちろん、すべてを自前で作れという話ではない。そんなことをしたら、ほとんどの組織は本来の仕事が何もできなくなる。ただ、依存の構造を意識しているかどうかで、壊れたときの対応力は変わる。

あのコンピュータサイエンスの教授が軽傷で済んだのは、自前のシステムを持っていたからではない。「Canvas が使えなくなったとき」のことを想定していたからだ。成績はローカルのスプレッドシートで管理し、課題提出の経路を Canvas だけに絞らなかった。特別な技術ではなく、「これが消えたらどうする？」という問いを持っていたかどうかの差だった。

攻撃者の合理性、防御側の構造

ShinyHunters は、過去に Ticketmaster、AT&T、Vercel など大規模な侵入実績を持つグループだ。今回の Canvas への攻撃で注目すべきは、侵入経路が「Free-For-Teacher」アカウント——教員向けの無料アカウント——に関連する脆弱性だったと Instructure が認めている点だ。

無料で提供されている機能は、有料のコア機能に比べてセキュリティ投資の優先度が下がりやすい。攻撃者はそこを突く。これは技術的な脆弱性であると同時に、ビジネスモデルの構造が生む脆弱性でもある。収益を生まない機能のセキュリティに、どれだけリソースを割けるか。無料ユーザーの入り口から入って、有料ユーザーのデータに到達できてしまう——そういう経路が存在しうるということだ。

Instructure は侵入を認識した後、「セキュリティパッチを適用した」と発表した。しかし ShinyHunters の主張によれば、Instructure はパッチを当てるだけで、直接の交渉には応じなかったという。その後、ShinyHunters はログイン画面を脅迫メッセージに書き換えた。つまり、パッチ適用後もなお、攻撃者がシステムへのアクセスを維持していた可能性がある。

ランサムウェア攻撃への身代金支払いを法律で禁止すべきだ、という意見もコメントに見られた。支払いを禁止すれば攻撃のインセンティブが消える、と。理屈はわかる。ただ、目の前で学生のデータが公開されようとしている大学の管理者にとって、「インセンティブ構造の最適化」は遠い話だ。短期の損害回避と長期の構造改善のどちらを取るか——この問いに正解はない。

「全部入り」が壊れるとき

今回の事件で見えたのは、Canvas が単なる「教材配布ツール」ではなかったということだ。課題提出、試験実施、成績管理、学生間のメッセージ、教材配布——学習に関わるほぼすべての機能が一つのプラットフォームに集約されていた。だからこそ便利だったし、だからこそ壊れたときの影響が甚大だった。

興味深いのは、大学がADA（障害を持つアメリカ人法）のコンプライアンス要件を理由に、教員に対して「すべての教材を Canvas に置くこと」を義務づけていたケースがある、という HN 上の指摘だ。個人のウェブサイトにPDFを置くことすら禁止されていた、と書いた人もいた。アクセシビリティという正当な目的のための規制が、結果として単一障害点を強制する構造を作っていた——もしこの証言が一般的なら、ということになる。

コンプライアンスとレジリエンスが相反する——これは教育機関に限った話ではない。セキュリティのために認証を一元化する、管理のためにデータを一か所に集める、監査のためにすべてを一つのプラットフォームに載せる。どれも合理的な判断だ。でも、その合理性は「そのプラットフォームが動いている」という前提の上に成り立っている。