脅迫者は、Sony傘下のアニメストリーミングプラットフォームであるCrunchyrollから、アウトソーシングパートナーであるTelusに関連する侵害に続いて、約100GBの機密ユーザーデータを流出させたと主張されている。
2026年3月12日に発生したと報告されているインシデントは、執筆時点でCrunchyrollによって確認されていないままであり、サイバーセキュリティコミュニティ全体に懸念を引き起こしている。
Cyber Digestと共有された詳細によると、侵害はTelus内の侵害されたEmployee workstationから発生し、Telusはサポート業務を行うビジネスプロセスアウトソーシング(BPO)プロバイダーであり、Crunchyrollのカスタマー運用をサポートしている。
従業員はマルウェアを実行し、攻撃者に企業環境への初期アクセスを与えたと言われている。
この足掛かりから、脅迫者は横移動を実行し、最終的にカスタマーサポートやチケット発行インフラストラクチャを含む内部システムへのアクセスを獲得したと報告されている。
この侵入方法は、サードパーティサービスプロバイダーをターゲットにした、より広範で益々悪用されている攻撃ベクトルを反映している。
注目すべきことに、このインシデントは同じ日に開示されたより広い範囲のTelus Digital侵害の主張と一致し、攻撃者はTelusをカスタマーサポート、AIデータ処理、およびコンテンツモデレーションサービスに利用している複数の組織へのアクセスを主張している。
BPOプロバイダーは認証ワークフローと請求システムへの特権アクセスを頻繁に維持しているため、大規模なサプライチェーン侵害を可能にする高価値のターゲットを表している。
Cyber Digestは盗まれたデータのサンプルをレビューし、それは複数のカテゴリーの個人識別情報(PII)を含むと報告している。
露出したデータセットはIPアドレス、メールアドレス、クレジットカード情報、およびユーザーの行動に関連するカスタマー分析データを含むと主張されている。
検証されれば、このデータの組み合わせはCrunchyrollユーザーに対する身元盗用、金融詐欺、および標的化されたフィッシングキャンペーンのリスクを著しく増加させる。
脅迫者は、100GB全体のデータセットが限られた時間枠内でCrunchyrollのカスタマー分析環境および関連するチケット発行システムから抽出されたと主張している。
環境へのアクセスは約24時間以内にCrunchyrollによって検出および取り消されたと報告されている。
短いdwell timeにもかかわらず、流出の規模は十分に準備された作業を示唆しており、おそらく自動データ収集と迅速なステージング技術を含み、封じ込め前にデータ盗難を最大化することを目的としている。
懸念のもう1つのポイントは、インシデント後のCrunchyrollからの通信の欠如と主張されていることである。
脅迫者は、会社に連絡するための試みが無視され、影響を受ける可能性があるユーザーに対して正式な開示がなされていないと主張している。
この沈黙は、特にデータ侵害通知要件の厳しい管轄区域内で、規制上の精査を引き付ける可能性がある。
インシデントのタイミングはさらなる複雑さを加える。2026年の初め、Crunchyrollはユーザーの視聴データをサードパーティのマーケティングプラットフォームと適切な同意なしで共有したという疑いで集団訴訟に直面した。
機密ユーザーデータを含む新しい侵害は、同社の法的および評判上の課題を強化する可能性がある。
現在のところ、Crunchyrollはコメント要求に応答していない。セキュリティ専門家は、ユーザーに警戒を続け、財務口座を監視し、Crunchyroll関連のテーマを活用したフィッシング試みに注意するよう勧めている。
Cyber Security Newsは、このインシデントと、クラウド駆動型サービスエコシステムにおけるサードパーティリスク管理に対する広範な影響についてのより多くの情報が明らかになるにつれて、開発を監視し続けるであろう。
翻訳元: https://cyberpress.org/crunchyroll-breach-hackers-claim-100gb-of-user-data-stolen/