中央的な音声ストリーミングプラットフォームであるSoundCloudが、ユーザーデータの不正な露出を伴う重大なセキュリティインシデントの被害を受けました。
2025年後半に検知された活動に端を発するこの侵害により、約3,000万のユニークアカウントに関する個人情報が漏えいしました。
この事件は、大規模なWebアプリケーションにおけるAPIの悪用およびデータスクレイピングの脆弱性という増大する脅威を浮き彫りにしています。
このセキュリティ事案は、SoundCloudが自社のデジタルインフラ上で不正な活動を特定した2025年12月に始まりました。
攻撃者がSQLテーブルへ直接ルートアクセスを得る従来型のデータベース侵入とは異なり、本件は高度なデータマッピング攻撃を伴うものでした。
脅威アクターは、メールアドレスを検証し、公開されているプロフィールデータに紐付けられるプラットフォームの仕組みを悪用しました。
このプロセスを自動化することで、攻撃者はプラットフォーム全ユーザーベースの約20%に相当する公開プロフィールとメールアドレスの相関付けに成功しました。
列挙(エニュメレーション)またはスクレイピングと呼ばれることが多いこの手法により、ユーザーは事実上匿名性を失いました。攻撃者は当初、この収集したデータセットを用いてSoundCloudを恐喝しようとしました。
同社が身代金要求に応じることを拒否した後、脅威アクターは2026年1月にデータベースを公開しました。漏えいには2,980万件のレコードという膨大なキャッシュが含まれています。
主なリスクは、非公開のメールアドレスが公開プロフィールのメタデータと結び付けられている点にあり、脅威アクターが高度に標的化されたソーシャルエンジニアリング攻撃を仕掛けるのに十分な文脈を与えてしまいます。
侵害通知サービスは、2026年1月27日にデータを公式にHaveIBeenPwned(HIBP)へインデックス登録しました。
漏えいしたデータセットにはパスワードや金融決済情報は含まれていないと報告されていますが、露出したメールアドレスの量は深刻なセキュリティ上の課題となります。
メールアドレスを、ユーザーのフォロワー数やアバターといった具体的な詳細と組み合わせることで、サイバー犯罪者は説得力のあるフィッシングメールを作成できます。
攻撃者はSoundCloudサポートになりすまし、特定のプロフィール詳細を持ち出して、ユーザーをだまして悪意のあるリンクをクリックさせたり、偽のランディングページでパスワードをリセットさせたりする可能性があります。
セキュリティ研究者は、音声ストリーミングサービスからのものに見える受信連絡に対して、影響を受けたすべてのユーザーが極めて警戒を怠らないよう助言しています。
パスワードはこの特定の流出には含まれていませんでしたが、有効なメールアドレスの露出はしばしばクレデンシャルスタッフィング攻撃につながり、攻撃者がそれらを他のサービスで試すことになります。
ユーザーには、パスワードマネージャーを使用して各プラットフォームごとに固有で複雑な認証情報を作成し、直ちに多要素認証(MFA)を有効化することが強く推奨されます。
翻訳元: https://cyberpress.org/soundcloud-data-breach-exposes-29-million-user-details/