データ侵害を比較するのは、リンゴとオレンジを比べるようなものです。多くの点で異なります。ニュースメディアにとっては、ブランドの規模、影響を受けたユーザー数、そして手口がしばしば見出しを支配します。被害者にとって本当に重要なのは、盗まれた情報の種類です。そして関係する組織にとっては、インシデントをどう扱うかが焦点になります。では、今日のニュースフィードに登場した3件を見ていきましょう。
700Credit
700Creditは米国の信用レポート、事前与信チェック、本人確認、不正検知、そして自動車、レクリエーショナル・ビークル、パワースポーツ、マリン関連のディーラー向けコンプライアンスツールを提供する企業です。
700Creditは、自社サイト上の告知で、2025年10月下旬に第三者を介したサプライチェーン攻撃を受けたことを、メディア、パートナー、影響を受けた個人に通知しました。告知によると、攻撃者は氏名、住所、生年月日、社会保障番号(SSN)を含む個人を特定できる情報(PII)に不正アクセスしました。この侵害は5月から10月に収集されたデータに関わり、約560万人に影響したとされています。
このサプライチェーン攻撃は、攻撃への対処の重要性を示しています。報道によれば、700Creditはアプリケーション・プログラミング・インターフェース(API)を通じて200社以上の統合パートナーと連携しています。7月にそのパートナーの1社が侵害された際、同社は700Creditに通知しませんでした。その結果、正体不明のサイバー犯罪者がその第三者のシステムに侵入し、消費者情報を取得するために使われていたAPIを悪用しました。
700Creditは露出していた第三者APIを停止し、FBIとFTCに通知し、ディーラーおよび州の規制当局と連携しながら、被害者に信用監視を提供する案内書を郵送しています。
SoundCloud
SoundCloudは、ユーザーが音楽、ポッドキャスト、その他の音声コンテンツをアップロード、プロモーション、ストリーミング、共有できる主要な音声ストリーミングプラットフォームです。
SoundCloudは、自社サイト上の告知で、付随サービスのダッシュボードにおける不正な活動を最近検知したと発表しました。付随サービスとは、安定性と信頼性の維持を支える専門的な機能を指します。SoundCloudが攻撃を封じ込めた際、同社はサービス妨害(DoS)攻撃を受け、そのうち2件は一時的にウェブ上でのプラットフォームの可用性を低下させました。
調査の結果、金融情報やパスワード情報などの機微なデータにはアクセスされていないことが判明しました。露出したデータはメールアドレスと、公開されているSoundCloudプロフィール上ですでに閲覧可能な情報でした。同社は、このインシデントがユーザーベースのおよそ20%に影響したと見積もっています。
Pornhub
Pornhubは世界で最も訪問者の多いアダルト動画共有サイトの1つで、ユーザーは匿名でコンテンツを視聴することも、アカウントを作成して動画をアップロードしたり交流したりすることもできます。
報道によれば、Pornhubは2025年11月8日、第三者の分析プロバイダーMixpanelにおけるセキュリティ侵害により、「特定のユーザーに関する限定的な分析イベントのセット」が露出したと開示しました。Pornhubは、これはPornhub自体のシステムの侵害ではないと強調し、パスワード、支払い情報、金融情報は露出していないと述べました。しかしMixpanelは、そのデータが2025年11月の同社のセキュリティインシデントに由来するという点に異議を唱えています。
報道によると、ランサムウェアグループShinyHuntersは、Pornhub Premiumの利用状況に紐づく2億件超の分析レコードを含む約94GBのデータを入手したと主張しています。ShinyHuntersは BleepingComputer にデータサンプルを共有し、その中にはPornhub Premium会員のメールアドレス、アクティビティ種別、位置情報、動画URL、動画名、動画に関連付けられたキーワード、そしてイベント発生時刻が含まれていました。
ShinyHuntersはBleepingComputerに対し、Pornhubに恐喝要求を送ったと述べており、露出したデータの性質は、社会保障番号、政府発行ID、決済カード情報が侵害範囲に含まれていないにもかかわらず、脅迫、暴露、評判被害といった明確なリスクを生みます。
リンゴとオレンジを比べる
ご覧のとおり、これらは非常に異なる3つのデータ侵害です。起き方だけでなく、影響を受けた人々にとって何を意味するかも異なります。
メールアドレスや、誰かがSoundCloudを使っているという事実はフィッシングや詐欺師にとって有用になり得ますが、Pornhub Premiumの詳細な利用記録がもたらす「てこ」に比べれば、隔たりは大きいでしょう。これで「hello pervert」詐欺師のリストに載らないのだとしたら、何が載せるのか分かりません。
しかし、影響を受けた人々にとって間違いなく最も危険なのは、攻撃者になりすまし(ID盗用)に十分な情報を与えてしまう700Creditの侵害です。他のケースでは攻撃者は別の防御層を突破する必要がありますが、なりすましが成功すれば、攻撃者は重要な目標を達成したことになります。
| 観点 | SoundCloud | 700Credit | Pornhub |
| 影響を受けた人数 | 推定約2,800万~3,600万人(ユーザーの約20%) | 約560万人 | 「一部」のPremiumユーザー;約2億100万件のアクティビティ記録(2億100万人ではない) |
| 漏えいしたデータ | メールアドレスおよび公開プロフィール情報 | 氏名、住所、生年月日、SSN | 検索・視聴・ダウンロードの活動;攻撃者が共有したサンプルにはメールアドレス、タイムスタンプ、IP/地理位置情報データが含まれる |
| 機微性のレベル | 低(主にすでに公開されている連絡先/プロフィールデータ) | 非常に高い(典型的なID盗用のPII) | 非常に高い(親密な行動・嗜好データ、脅迫/恐喝の可能性) |
| 侵害の原因 | 内部サービスのダッシュボードへの不正アクセス | 第三者APIの侵害(サプライチェーン攻撃) | スミッシング(SMSフィッシング)キャンペーンに続いて発生した、第三者分析データ(Mixpanel)をめぐる係争中のインシデント |
