PornHubは、ShinyHuntersグループによる恐喝の標的になっていると明らかにしました。同グループは、プレミアムユーザーの検索クエリおよび視聴履歴に関するデータを入手したと主張しています。PornHubによれば、この問題はPornHub内部システムの侵害ではなく、分析業務委託先であるMixpanelで発生したセキュリティインシデントに起因するとのことです。
PornHubは、Mixpanelでの最近のインシデントを受け、先週になって自社が影響を受けた可能性を把握したと報告しました。2025年11月8日、分析サービスはスミッシング攻撃により侵害され、攻撃者が同社システムへアクセスできるようになりました。通知の中でPornHubは、この状況がプレミアムユーザーの一部にのみ影響し、PornHub Premium自体の侵害とは無関係であることを強調しました。同社は、パスワード、支払い情報、金融情報は影響を受けていないと強調しています。
PornHubはさらに、Mixpanelとは2021年以降取引がないため、盗まれた記録が仮にPornHubに関するものであったとしても、必然的に過去のものであり、遅くとも2021年までにさかのぼる履歴データに限られると指摘しました。一方Mixpanelは、11月のインシデントが影響したのは「限られた数」の顧客のみだったと述べており、OpenAIとCoinTrackerは以前、自社が影響を受けたことを開示しています。
今回の件は、Mixpanelの顧客に対する恐喝の背後にShinyHuntersがいたことを初めて公に確認するものとなりました。報道によれば、先週ShinyHuntersは、盗難データの公開を差し控える見返りとして身代金の支払いを要求する脅迫メールの送付を開始したとされています。PornHub宛ての連絡では、同グループは200万件を超える個人記録を含む94GBのデータを流出させたと主張し、その後、検索、視聴、ダウンロードを含む過去のプレミアムアカウント活動の記録が合計201,211,943件であると具体的に述べました。
少量のサンプルから、分析上の「イベント」には極めて機微な詳細が含まれ得ることが示唆されています。具体的には、ユーザーのメールアドレス、活動種別、所在地、URLおよび動画タイトル、キーワード、タイムスタンプなどです。活動カテゴリには、動画の視聴やダウンロード、チャンネル訪問、そしてShinyHuntersによれば検索クエリも含まれるとされています。
これらの主張が公表された後、Mixpanelは問題のデータが11月のインシデントで盗まれたものではないと考えていると述べました。同社は、2025年11月の侵害に関連してMixpanelからデータが持ち出された証拠は見つかっていないとし、代わりに、当該データへの最後のアクセスは2023年にPornHubの親会社の従業員に属する正規アカウントを通じて行われたと主張しています。仮にデータが最終的に不正な第三者に渡ったとしても、Mixpanelは、同社の評価ではそれはMixpanelの侵害の結果ではないとしています。
2025年、ShinyHuntersはすでに一連の著名なデータ漏えいと関連付けられており、しばしば各種Salesforceインテグレーターや関連する攻撃チェーンを通じてアクセスを得ています。同グループはまた、Oracle E-Business Suiteのゼロデイ脆弱性(CVE-2025-61884)の悪用、Salesforce/Driftを標的とした攻撃、そして複数組織にまたがる追加のSalesforceデータへのアクセスを可能にしたとされるGainsightの最近の侵害とも関連付けられています。
今回、Mixpanelの件にShinyHuntersが関与していたことが確認されたことで、同グループは2025年の最も注目度の高いデータ侵害のいくつかの責任主体として名指しされています。さらに、入手可能な情報によれば、ShinyHuntersはShinySpid3rと呼ばれる新たなRaaS(サービスとしてのランサムウェア)プラットフォームを開発しているとみられ、将来の恐喝キャンペーンにおいて、同グループ自身およびScattered Spiderに関連する協力者の運用ハブとして機能することを意図しているとされています。
