ハクティビスト集団「Anna’s Archive」は、Spotifyのカタログのほぼ全てをスクレイピングし、現在BitTorrentでシードしていると主張しており、ストリーミングプラットフォームを実質的に約300TBの海賊版「保存アーカイブ」へと変えている。
同グループはブログで次のように述べている:
「しばらく前に、Spotifyを大規模にスクレイピングする方法を発見しました。私たちはここに、主として保存を目的とした音楽アーカイブを構築する役割があると考えました。」
Spotifyは、ハクティビストがユーザーデータを一切入手していないと主張している。それでもこの事案は、大規模スクレイピング、デジタル著作権管理(DRM)の回避、そして不正利用対策の弱さが、主要コンテンツプラットフォームを高価値の標的へと変え得ることを浮き彫りにしている。
Anna’s Archiveは、約2億5600万曲分のメタデータと、約8600万曲分の音声ファイルを入手し、合計で約300TBに達すると主張している。報道によれば、これはSpotifyのカタログの約99.9%と、全ストリームのおよそ99.6%に相当するという。
Spotifyは、「違法なスクレイピングに関与した悪質なユーザーアカウントを特定して無効化した」うえで、新たな安全対策を実装したとしている。
セキュリティの観点から見ると、この事案は、スクレイピングが「単なるメタデータ」にとどまらず、産業規模のコンテンツ窃取へとエスカレートし得ることを示す教科書的な例だ。公開API、トークンの悪用、レート制限の回避、DRMバイパス手法を組み合わせることで、攻撃者は保護されたコンテンツを大規模に抽出できる。十分な数のアカウントを作成または侵害し、それらを正当なものに見せかけられれば、時間をかけてコンテンツ保護を少しずつ削り取っていける。
この「Spotifyスクレイプ」は、おそらく著作権の話として語られるだろう。しかしセキュリティの観点では、次のことを思い出させる:プラットフォームがコンテンツやメタデータを大規模に露出しているなら、いずれ誰かがアクセスを自動化し、それを武器化し、再配布する。
そして、利用規約違反の陰に隠れること——犯罪者を止めたことなど一度もない——は、有効なセキュリティ対策ではない。
これはあなたにどう影響するのか?
現時点で、パスワード、支払い情報、または非公開プレイリストが流出した兆候はない。この事案はユーザーデータベースではなく、純粋にコンテンツとメタデータに関するものだ。とはいえ、詐欺師がそうではないと主張する可能性はある。アカウントデータが侵害されたと称し、ログイン情報の提供を求めるメッセージには注意してほしい。
念のための一般的なSpotifyセキュリティのヒント:
- Spotifyのパスワードを他所で使い回していたり、認証情報を共有していたりする場合は、安心のためにパスワード変更を検討してほしい。
- ストリーミングサービスのアクティブなセッションを定期的に確認し、心当たりのないものは無効化する。Spotifyにはデバイスごとのセッション管理はないが、SpotifyのウェブサイトでAccount > Settings and privacyから全デバイスをサインアウトできる。
- ログインや広範なOAuth権限を求める非公式のダウンローダー、コンバーター、または「Spotify改造版(mod)」は避けること。これらのツールはしばしば同種のスクレイピング基盤に依存している——あるいはそれ以上に、認証情報を盗むマルウェアとして機能する。
翻訳元: https://www.malwarebytes.com/blog/news/2025/12/hacktivists-claim-near-total-spotify-music-scrape
