SoundCloudのデータ侵害、約3000万アカウントに影響
音楽ストリーミングプラットフォームSoundCloudにおいて、約2980万のユーザーアカウントがデータ侵害の被害に遭ったことが、データ漏洩通知サービス「Have I Been Pwned (HIBP)」によって2026年1月27日に明らかにされました。この侵害により、ユーザーのメールアドレス、地理的位置、名前、ユーザー名、そしてプロフィール統計情報が流出したと報じられています。
不正アクセスの発覚とSoundCloudの対応
SoundCloudは、VPN経由でのアクセス障害や「403 Forbidden」エラーが多発したユーザーからの報告を受け、2025年12月15日にこのデータ侵害を公に認めました。同社は、補助サービスダッシュボードに対する不正な活動を検知したと説明し、インシデント対応手続きを開始しました。
当初、SoundCloudは「一部の限定されたデータ」に攻撃者がアクセスしたと述べ、「金融情報やパスワードのような機密データはアクセスされていない」と強調していました。しかし、セキュリティメディア「BleepingComputer」の取材により、この侵害が全SoundCloudユーザーの約20%に影響を及ぼし、約2800万アカウントに上ることが判明しました。SoundCloudは後に、BleepingComputerが提供した情報を裏付けるセキュリティ通知を公開しています。
ShinyHuntersの関与と恐喝の試み
今回の攻撃には、悪名高いハッキング集団「ShinyHunters」が関与しているとされています。BleepingComputerは、ShinyHuntersがSoundCloudに対して恐喝を試みていたことを報じており、SoundCloudも1月15日の更新で「攻撃者は要求を行い、電子メールの大量送信によるユーザー、従業員、パートナーへの嫌がらせ行為を展開した」と認めました。
漏洩した個人情報の詳細
HIBPの報告によると、漏洩したデータには、約3000万のユニークなメールアドレスに加え、ユーザー名、アバター、フォロワー数、フォロー数、そして一部のケースではユーザーの国情報が含まれていました。SoundCloud側は、このインシデントにより攻撃者が「公開されているSoundCloudのプロフィールデータとメールアドレスを紐付けた」と説明しています。
ShinyHuntersは最近、Okta、Microsoft、Googleなどのシングルサインオン(SSO)アカウントを標的としたボイスフィッシング攻撃にも関与していると主張しており、企業向けSaaSプラットフォームへの侵害やデータ窃取による恐喝を可能にしていると見られています。