- VRChatのユーザーデータ漏洩疑惑、政府への届出が発端でパニックに
- VRChatは侵害の事実を全否定——「届出は完全な捏造であり、誤解を招くもの」と声明
- 届出では、クラウドシステムへの不正アクセスにより数百万人のユーザーが影響を受けたと主張
データ侵害の通知が公式に公表されたことを受け、数百万人のVRChatユーザーが大規模なセキュリティインシデントの影響を受けたとする主張をめぐって混乱が生じています。
この通知によると、2026年5月10日から12日にかけてプラットフォームのクラウド環境への不正アクセスがあり、240万人以上のユーザーに関連するデータが流出したとされています。
しかしVRChatはこの報告を全面的に否定しており、自社のシステム、ユーザーデータ、インフラが侵害された証拠はないと述べています。
VRChat、240万人のデータ流出報告を否定
今回の騒動の発端は、メイン州司法長官室を通じて公開されたデータインシデント通知です。その内容によると、2,436,782人のユーザー情報が漏洩したとされています。
流出したとされるデータには、ユーザー名、メールアドレス、サブスクリプションの状態、ログイン履歴、デバイス情報、ハードウェア識別子、IPアドレス、連携するSteamまたはMetaアカウントの識別子が含まれているとのことです。
一方、パスワード、クレジットカード情報、金融記録、年齢確認に使用した公的身分証明書は影響を受けていないとも記載されていました。
VRChatは最大規模のソーシャルVRプラットフォームの一つであることから、この報告は大きな注目を集めました。
2014年のサービス開始以来、数百万人のユーザーが何千万点ものコンテンツを制作しているプラットフォームです。
しかしVRChatは、この報告を「偽の侵害報告」と呼び、その真正性を強く否定しています。
VRChatのコミュニティ責任者、チャールズ・タッパー氏は次のように述べています。「VRChatはこのデータインシデント通知を提出していません。また、記載されている担当者および連絡先メールアドレスは実在しません。」
「私たちのデータやシステムが侵害されたと考える根拠は一切ありません。現在、この通知の削除を求めてメイン州司法長官室と連絡を取っています。」
政府への届出の真正性に疑問の声
同社の反論を受け、報告されたデータ侵害の内容とその経緯についてさらに詳しい調査が行われました。
通知に記載された情報を検証しようとしたところ、電話番号はすでに使用されておらず、メール アドレスにも返信がなかったとのことです。
また、届出に記載された担当者がVRChatに在籍していることを裏付ける記録も確認できなかったと伝えられています。
同社は、通知の削除を求めてメイン州司法長官室と協力しつつ、なぜこの届出が掲載されたのかについても説明を求めているとしています。
仮にこの侵害報告が事実であれば、VR(仮想現実)プラットフォームを巡るインシデントとしては最大規模の開示事例の一つになっていたでしょう。
また、報告された侵害は大規模インシデントの多くと異なり、身元詐取の監視サービスやクレジット保護サービスの提供に関する記述がなかった点でも異質でした。
現時点では、政府機関が公開した侵害通知が重大な侵害を主張する一方、当該企業は攻撃の事実を全面否定するという異例の事態となっています。
VRChatの反論から判断すると、この報告は行政上の誤りか、あるいは意図的な捏造と見られます。
特に後者の可能性が高いとされており、報告によると何者かがVRChatを装った偽の通知を作成し、ユーザーに対して送付したとされています。
さらに注目すべき点として、メイン州司法長官室はその後、報告ポータルをオフラインに切り替えざるを得なくなりました。今回のVRChatの事例を含む、複数の偽の開示がサイト上に掲載される事態になったためです。
Discordになりすました別の不正な開示もこのプラットフォームに掲載されていたことが明らかになっています。
情報元:The Register
