- サードパーティの侵害により、特定のVimeoユーザーおよび顧客データが露出
- アクセスされた情報にはメタデータと一部のメールアドレスが含まれていましたが、ビデオコンテンツまたは支払い詳細は含まれていません
- Vimeoは統合を無効化し、外部調査官を起用し、身代金要求の脅迫を受けました
人気のあるビデオプラットフォームVimeoは、ユーザーのデータの一部が悪意のあるサードパーティによってアクセスされた可能性があることをユーザーに通知しました。
同社のウェブサイトで公開されたセキュリティインシデント発表で、Vimeoは許可されていないデータアクセスがAnodot侵害の結果であると述べました。Anodotは、AIを活用したクラウドベースの分析プラットフォームで、ビジネス上の事象と異常をリアルタイムで検出し、企業が売上の急激な低下、コスト増加、または技術的な障害を組織と顧客に大きな影響を与える前に特定するのを支援します。
2026年4月上旬に、ShinyHuntersが侵入し、サードパーティ統合機能を通じてAnodotのユーザーのSnowflakeアカウントにアクセスしたと報告されました。明らかに、12社以上が被害を受けましたが、現在確認されている唯一の被害者はRockstar Gamesです。同社は有名なGrand Theft AutoおよびRed Dead Redemptionゲームシリーズの背後にある企業ですが、Vimeoはこの攻撃の影響も受けたと述べています。
記事は以下に続く
確認されたAnodot事件
「Anodot侵害の結果として、許可されていない者が特定のVimeoユーザーおよび顧客データにアクセスしたことを特定しました」と発表は述べています。「当社の初期調査結果では、アクセスされたデータベースに主に技術データ、ビデオタイトルおよびメタデータが含まれており、場合によっては顧客のメールアドレスが含まれていることを示唆しています。」
Vimeoは攻撃の影響を受けた人数を明らかにしませんでしたが、ビデオコンテンツ、有効なユーザーログイン認証情報、および支払いカード情報がアクセスされなかったことを強調しました。
「Vimeoのユーザーおよび顧客ログイン認証情報は安全です。このインシデントはシステムやサービスに中断をもたらしませんでした」と述べました。
発見後、VimeoはすべてのAnodot認証情報を無効化し、統合を削除し、事後分析を支援するためにサードパーティのセキュリティ企業を起用しました。警察にも通知されました。
この攻撃はランサムウェア犯人ShinyHuntersによって主張されました。同グループは、企業が2026年4月30日までに身代金を支払わない限り、盗まれたファイルを公開すると述べています。
