大手のデータ漏洩により、人気のソニー傘下アニメストリーミングサービスであるCrunchyrollが侵害されたと報告されています。
脅迫者は、プラットフォームから個人識別情報(PII)100GBを正常に盗むことができたと主張しています。
この流出は2026年3月12日に起きたとされており、Crunchyrollのビジネスプロセスアウトソーシング(BPO)パートナーであるTelusの侵害された従業員に由来しています。本報告時点で、Crunchyrollは認可されていないセキュリティインシデントを公に認めていません。
この侵入は、サプライチェーンの脆弱性に関連した深刻なリスクを浮き彫りにしています。
脅迫者からの通信によると、攻撃はTelusの従業員が会社のワークステーションで誤ってマルウェアを実行した時点で始まりました。この単一の感染は、攻撃者に重要な初期的な足がかりを提供しました。
Telusのワークステーション内に入ると、ハッカーはラテラルムーブメント技術を使用して、Crunchyrollの内部環境へのギャップを埋めました。
彼らは特に機密顧客向けシステムに向かってナビゲートし、最終的に会社のチケッティングインフラストラクチャを侵害しました。
このインシデントは、Telus Digitalを対象とした攻撃の大きな一連と一致しており、ハッカーは複数のクライアント企業からのデータにアクセスしたと主張しています。
BPOプロバイダーは様々な環境を通じて認証、カスタマーサポート、および請求ツールを処理するため、単一のエントリーポイントを通じて影響を最大化しようとするサイバー犯罪者にとって非常に利益の多いターゲットのままです。
データ漏洩により100GBが流出
脅迫者は、Crunchyrollのカスタマーアナリティクス環境とチケッティングシステムから直接、巨大な100GBのペイロードを抽出したと主張しています。
セキュリティアナリストは盗まれたデータベースのサンプルを確認し、非常に機密のカスタマーレコードの存在を確認しました。流出したデータセットは次の情報を含んでいると報告されています。
- ユーザーのIPアドレス
- アカウントのメールアドレス
- 関連するクレジットカード情報
- 内部カスタマーアナリティクスデータ
この流出データの性質は、影響を受けた加入者に直ちに深刻なリスクを生じさせます。
サイバー犯罪者はこの情報を容易に武器化して、標的型フィッシングキャンペーンを開始したり、詐欺的な金銭詐欺を実行したり、より広い身元盗難を助長することができます。
CSNによると、Crunchyrollのセキュリティ運用チームは不正なネットワーク活動を検出し、3月12日の初期の侵害から24時間以内にアクセスを取り消しました。
検出ウィンドウは比較的短かったが、流出したデータの膨大な量は、脅迫者が高度に調整された事前計画の抽出作戦を実行したことを示唆しています。
積極的な脅威を正常に排除したにもかかわらず、Crunchyrollはインシデントに関するすべての通信を無視したと報告されています。
さらに重要なことに、同社は加入者ベースに警告するための公開開示を行っていません。
この長期的な沈黙はサイバーセキュリティコミュニティから厳しい批判を呼んでおり、特にCrunchyrollが2026年初期にユーザーの視聴データの違法な共有に関する集団訴訟に既に対処していたためです。
翻訳元: https://gbhackers.com/crunchyroll-data-breach/
