Pornhub Premiumアカウントをかつて保有していた数百万人の個人的な視聴履歴に関わる、大規模なプライバシー侵害が表面化しました。サイバー犯罪グループShinyHuntersは、ユーザーの検索、ダウンロード、動画アクティビティに関する2億件超(正確には201,211,943件)の記録を含む94GBのデータベースを盗み出したと主張しています。彼らはすでに恐喝キャンペーンを開始しており、ビットコインで身代金を要求していると報じられています。
デジタルリスクおよび脆弱性管理企業Rescanaの研究者によると、発端はウェブサイト分析を追跡するサードパーティ企業Mixpanelでのセキュリティ上の不備でした。これは、OpenAIに影響を及ぼし、APIユーザーデータを露出させた同社の侵害と同じもので、先月発生しています。
Rescanaのブログ投稿およびMixpanelの公式セキュリティ通知によれば、侵害は2025年11月8日に始まり、ハッカーがスミッシング攻撃(従業員に欺瞞的なSMSを送り、ログイン情報を盗む手口)を用いてMixpanelのシステムへ不正アクセスを獲得しました。
機微データと恐喝
盗まれたファイルには極めて私的な記録が含まれています。データのサンプルを確認したBleepingComputerによると、記録には次の内容が含まれます。
- メールアドレスとおおよその所在地(都市および国)。
- 動画名、URL、検索キーワードなどのアクティビティ詳細。
- 各動画が視聴またはダウンロードされた日時を示すタイムスタンプ。
ハッカーはすでに影響を受けた企業に恐喝メールを送っており、支払いがなければすべてを漏えいすると脅しています。ただし、Pornhub自体の内部システムが直接ハッキングされたわけではない点には留意が必要です。同プラットフォームは、パスワードやクレジットカード情報といった機微情報は依然として安全だと確認しています。
盗難データの検証
データが本物であることを示すため、ShinyHuntersはPornhubのPremium階層のユーザー14人分の記録を共有しました。ロイターは確認として、そのうち6人の詳細を、District 4 Labsが保有する過去の漏えいデータと照合し、情報が真正であることを確かめました。そのうち3人は、実際に元加入者であると認めています。ハッカーはファイル入手の正確な方法を明かしていないものの、これらの結果は実在のユーザー情報が外部に出回っていることを示しています。
データアクセスをめぐる食い違う報告
なお、Pornhubの声明によれば、同社は2021年にMixpanelの利用を正式に停止しているため、これらの記録は少なくとも4年前のものです。しかし、ここから話が複雑になります。現在、両社は実際に何が起きたのかについて見解が一致していません。
Pornhubは当初Mixpanelの侵害を原因として挙げていましたが、2025年12月16日時点で、公式アドバイザリからその言及を削除しました。同日、Mixpanelは、データが実際に最後にアクセスされたのは2023年で、Pornhubの親会社Ayloに属する「正当な従業員アカウント」によるものだったと主張しました。これは、分析プロバイダーのサーバーへの直接攻撃ではなく、別のアカウント侵害があった可能性を示唆しています。
翻訳元: https://hackread.com/hackers-pornhub-premium-user-watch-histories/
