VRChatユーザー240万人超のデータが流出

VRChat, Inc.は、240万人以上のユーザー情報がデータ侵害に巻き込まれたことを明かすデータ侵害通知を提出しました。

通知によると、VRChatは2026年5月10日から5月12日にかけて、一部のアカウントデータへの不正アクセスを受けました。アクセスはVRChatのクラウド環境で発生し、ユーザープロフィールおよびログイン関連データが対象となっています。

流出した情報はアカウントによって異なりますが、以下の情報が含まれている可能性があります。

• VRChatユーザー名
• VRChatアカウントに紐付けられたメールアドレス
• VRChat+のサブスクリプション状況
• ログイン履歴（デバイス情報、ハードウェア識別子、IPアドレスを含む）

VRChatは、パスワード、クレジットカード番号やその他の支払い情報、年齢確認に使用した公的身分証明書は流出していないと明言しています。

VRChatは主にVRヘッドセット向けに設計されたソーシャルプラットフォームで、ユーザーが作成した3Dアバターや仮想空間を通じて交流できます。PCではSteam経由、Meta Quest Storeからのダウンロード、または対応Androidデバイス向けアプリとして利用可能です。

パスワードや決済カード情報が流出していないため、今回の侵害だけでカード不正利用や決済手段の即時乗っ取りが発生する可能性は低いと考えられます。しかし、パスワードやカード情報がなくても、各種識別子・メールアドレス・IP／デバイスデータの組み合わせにより、影響を受けたユーザーにはいくつかのリスクが生じます。

想定されるリスク

フィッシング詐欺

サイバー犯罪者は、VRChatのユーザー名とメールアドレスを標的型フィッシング攻撃に悪用する可能性があります。たとえば、「VRChatサポート」を名乗り、偽のセキュリティ警告や悪意あるリンクを通じた「年齢確認の再実施」を促すフィッシングメールやプラットフォーム内メッセージが届くことが考えられます。

VRChat+のサブスクリプション状況が把握されていることで、詐欺の説得力が増す恐れがあります。「VRChat+サブスクリプションの請求に問題が発生しました」といった巧みな誘い文句や返金詐欺は、有料ユーザーのクリック率が高い傾向があるためです。

アカウント乗っ取り

サイバー犯罪者は、今回の侵害で得たユーザー名・メールアドレスと、別のデータ侵害で盗まれたパスワードを組み合わせ、VRChatアカウントへの不正ログインを試みる可能性があります。「クレデンシャルスタッフィング」と呼ばれるこの手法は、複数のサービスでパスワードを使い回しているユーザーを狙ったものです。

乗っ取られた価値あるアカウントは、他のプレイヤーへの転売や詐欺に利用される恐れがあります。

本人特定・情報の紐付け

VRChatアカウントに連携されたSteamやMetaのユーザーIDを使えば、サイバー犯罪者はゲームやソーシャルプラットフォームをまたいで個人の同一性を割り出すことができます。特に同じメールアドレスやプロフィール名が複数のサービスで使われている場合はリスクが高まります。

さらに、IPアドレス、ログイン履歴、デバイス情報などの識別子を組み合わせることで、より詳細な広告ターゲティングやトラッキングプロファイルの構築に悪用される可能性があります。

身を守るための対策

VRChatは、追加のセキュリティ対策を実施するとともに、専門家を起用してさらなる脅威の監視にあたっていると発表しています。侵害の影響を受けた場合は、以下の対策を講じることをお勧めします。

まず最も重要なこととして、VRChatやご利用のゲームプラットフォームを名乗るメール・SMS・電話には細心の注意を払ってください。サイバー犯罪者はデータ侵害を利用したフィッシング詐欺を仕掛けることが多いためです。

VRChatのパスワードを他のサービスでも使い回している場合は、直ちにそれらのアカウントのパスワードを変更してください。また、まだ設定していない方は、VRChatアカウントに二要素認証（2FA）を設定することを強くお勧めします。

より一般的なアドバイスについては、データ侵害に巻き込まれた際にすべきことに関する記事をご参照ください。

シークレットウィンドウでできることには限界があります。 
 
情報漏洩、ダークウェブでの売買、クレジット詐欺——Malwarebytes Identity Theft Protectionはこれらすべてを監視し、迅速にアラートを通知するとともに、個人情報盗難保険も付帯しています。