2026年1月26日、音楽ストリーミングプラットフォームSoundCloudから約3000万件に及ぶユーザー記録が流出し、闇市場で公開されたという衝撃的な報道が飛び込んできました。この大規模なデータ侵害の背後には、悪名高いサイバー犯罪集団「ShinyHunters」の存在が指摘されています。彼らはSoundCloudに対して身代金を要求したものの、それが拒否されたため、盗み出したデータをオンラインに暴露したとされています。
この事件は、単なる技術的な脆弱性ではなく、人間の心理を巧みに操る「音声フィッシング(Vishing)」という高度なソーシャルエンジニアリング手法が悪用された結果であると、複数のセキュリティ企業が分析しています。SoundCloudのユーザーベースの約20%に相当する膨大な数の個人情報が危険に晒されており、その影響はリスナーからクリエイター、有料購読者にまで及んでいます。
Woods Lonergan PLLCのようなデータ侵害専門の法律事務所は、この事件を積極的に調査しており、被害を受けた可能性のあるユーザーに対し、無料相談を提供しています。彼らは、電子メールアドレスやプロフィールデータといった個人識別情報(PII)が流出したことで、フィッシング詐欺や認証情報漏洩、さらにはなりすましといった二次被害のリスクが著しく高まっていると警告しています。
この事件は、企業が直面するサイバーセキュリティの脅威が、システムの堅牢性だけでなく、従業員のセキュリティ意識という「人間的な壁」にまで及んでいることを浮き彫りにしています。ShinyHuntersのような洗練された攻撃者は、常に最も弱いリンクを探し、その突破口を見つけることで、大規模なデータ侵害を引き起こす能力を持っているのです。
進化する音声フィッシング:狡猾な「Vishing」の全貌
今回のSoundCloudへの攻撃で中心的な役割を果たしたとされるのは、進化を遂げた音声フィッシング、すなわち「Vishing」です。Mandiant Consultingの最高技術責任者であるチャールズ・カーマカル氏は、Mandiantが「ShinyHuntersブランドの新たな進行中のキャンペーン」を追跡しており、これは進化した音声フィッシング技術を用いて被害組織からシングルサインオン(SSO)の認証情報を巧みに侵害し、脅威アクターが制御するデバイスを多要素認証(MFA)ソリューションに登録することに成功していると指摘しています。
この手口では、サイバー犯罪者は標的企業の正規のSSOポータルを模倣したカスタムドメインを登録し、高度なフィッシングキットを展開します。そして、被害者に電話をかけ、ブラウザに表示されるページをリモートで制御しながら、音声による指示とMFAの要求をリアルタイムで同期させます。これにより、被害者が認証コードを承認または入力する可能性が飛躍的に高まるのです。
Oktaの脅威インテリジェンス担当副社長であるブレット・ウィンターフォード氏は、研究者たちが、IDプロバイダーの認証フローをリアルタイムで模倣する能力を持つ少なくとも2つのフィッシングキットを観測していると述べています。これらのキットは、Google、Microsoft、Oktaのサインインフローだけでなく、暗号通貨プロバイダーのなりすましにも対応する専用パネルを備えていると報告されています。
Halcyonのランサムウェア研究センターのシニアバイスプレジデントであるシンシア・カイザー氏は、これらのキャンペーンが頻繁に発生しているものの、最近のキャンペーンでは成功率がわずかに高まっていると分析しています。その理由として、信憑性の高いコンテンツと、単なるフィッシングではなく音声フィッシングが使用されている点を挙げており、パーソナライズされたリアルタイムの電話は、人々が警戒しにくい異なる要素をもたらすと指摘しています。
SoundCloud侵入の舞台裏:内部ツールと「人間」の脆弱性
SoundCloudのデータ侵害は、2026年1月26日にShinyHuntersが約3000万件のユーザー記録を含む大規模なデータベースをダークウェブに公開したことで確認されました。しかし、この事件が最初に明るみに出たのは、企業からの公式発表ではなく、ユーザーがVPN接続を介してSoundCloudにアクセスしようとした際に、繰り返しHTTP 403 Forbiddenエラーを報告し始めたことによる混乱がきっかけでした。
フォレンジック分析によると、ShinyHuntersは「Vishing(音声フィッシング)」と呼ばれるソーシャルエンジニアリングの手法を悪用して従業員を騙し、内部に侵入したと報じられています。彼らはSoundCloudのコアプロダクションシステムではなく、補助的なサービスダッシュボードを通じてアクセス権を獲得したとされており、これはSoundCloudのコアコードの欠陥ではなく、内部ツールや人々の操作が狙われたことを示唆しています。
SoundCloudは、パスワードや財務データは流出していないと主張していますが、CyberInsiderの報道によれば、ユーザープロフィールにリンクされた電子メールアドレスを含む盗まれたデータセットはすでにオンラインに漏洩しています。この個人識別情報(PII)の流出は、リスナー、サブスクライバー、独立系アーティスト、クリエイター、ポッドキャスター、ミュージシャンといったあらゆるタイプのSoundCloudユーザーを危険に晒しています。
特に、有料購読者(Go/Go+)は高価値の標的とされ、フィッシングメールが「購読更新」通知を装ってクレジットカード情報を盗もうとする可能性があります。また、アーティストやクリエイターにとっては、個人の法的メールアドレスが公開プロフィールに紐付けられることで、嫌がらせや業界関係者を装った標的型詐欺のリスクが高まります。Woods Lonerganは、SoundCloudのITセキュリティトレーニングの十分性、特に「人間のファイアウォール」を迂回して内部ダッシュボードにアクセスする侵入者を阻止するための適切な対策が講じられていたかどうかを調査しています。
標的は多岐に:金融からマッチングアプリまで広がる被害
ShinyHuntersによる今回の攻撃キャンペーンは、SoundCloudだけに留まらず、金融サービスからマッチングアプリ、さらには飲食業界に至るまで、多岐にわたる企業を標的にしていることが明らかになっています。CyberScoopの報道によれば、金融サービス企業Bettermentは1月9日にソーシャルエンジニアリングを介してシステムの一部にアクセスされ、顧客データが盗まれたことを確認しています。Bettermentは顧客の認証情報が侵害されたり、口座がアクセスされたりした形跡はないと述べていますが、攻撃者は迅速にシステムアクセスを利用して、一部の顧客に不正な暗号通貨のオファーを送付しました。
CSO Onlineの報道では、ShinyHuntersがデートアプリのHinge、Match、OkCupid、Bumbleから盗んだと主張する数十ギガバイトのファイルを公開したとされています。Match Groupの広報担当者は、セキュリティインシデントを認識しており、不正アクセスを迅速に終了させたと述べています。同社は、ユーザーのログイン認証情報、財務情報、プライベートな通信がアクセスされた兆候はないとし、影響を受けたユーザーデータは限定的であると信じており、すでに適切な個人への通知プロセスを進めていると説明しています。
さらに、CrunchBase、CarMax、Edmunds.com、Panera Breadといった企業からもファイルが盗まれたとShinyHuntersは主張しており、被害リストは拡大する可能性が示唆されています。Sophosの脅威インテリジェンス担当ディレクターであるラフェ・ピリング氏は、SophosのCounter Threat Unitが、先月から約150の悪意あるドメインのクラスターを追跡していると述べています。これらのドメインは、データ窃盗や身代金要求を伴う音声フィッシングキャンペーンで使用されており、教育、不動産、エネルギー、金融サービス、小売といった多様な分野の組織になりすましています。
これらの事例は、ShinyHuntersが特定の業界に限定されず、広範な企業を標的とし、その手口が極めて巧妙かつ適応性が高いことを示しています。企業は、自社の業界が直接狙われていないと安堵することなく、あらゆる業種が潜在的な標的となり得るという認識を持つことが不可欠です。
SLSH連合の暗躍:LAPSUS$とScattered Spiderとの連携
ShinyHuntersは、単独で活動しているわけではありません。CSO Onlineの報道によると、2020年から活動しているShinyHuntersは、UNC6040としても追跡されており、昨年9月には悪名高いハッカーグループであるLAPSUS$およびScattered Spiderと合流したと報じられています。この新たな連合体は「SLSH(Scattered LAPSUS$ Hunters)」として知られ、最近では大規模なハッキング活動に従事していると見られています。
セキュリティ企業Silent Pushは、過去1ヶ月間に100以上の高価値組織を標的とするSLSHの戦術、技術、手順(TTPs)に合致する新たなフィッシングインフラを検出しています。このインフラには「ライブフィッシングパネル」が含まれており、攻撃者はログインセッションに対してリアルタイムで中間者攻撃を実行し、Oktaを含むシングルサインオン(SSO)プラットフォームの認証情報と多要素認証(MFA)トークンを捕捉することを目的としています。
Oktaが警告した音声攻撃のために設計されたフィッシングキットは、MFAが有効になっている場合でも、攻撃者がユーザーの認証情報を正規サイトでリアルタイムにテストし、MFAの種類を把握し、それに応じてフィッシングページをリアルタイムで変更できるため、非常に強力です。例えば、ユーザーにプッシュ通知が提示された場合、攻撃者は電話でプッシュ通知が来ることを伝え、C2パネルからオプションを選択して、ターゲットのブラウザを新しいページに誘導し、プッシュメッセージが送信されたことを示唆するメッセージを表示させることができます。
サイバー犯罪インテリジェンス企業Hudson RockのCTOであるアロン・ガル氏は、Oktaがアドバイザリで説明したVishing技術が、ShinyHuntersの既知のTTPs(ITサポートのなりすまし、フィッシングキットを介したリアルタイムMFAバイパス、認証情報/セッショントークンの窃盗、SaaSデータ流出)と一致すると述べています。ガル氏はまた、新たに流出したデータが被害企業と一致しており、これはShinyHuntersの過去の主張や公開情報と整合していることを確認しています。
ユーザーを狙う巧妙な手口:データ流出がもたらす深刻なリスク
SoundCloudのデータ侵害によって流出した3000万件ものユーザー記録、特に電子メールアドレスとプロフィールデータは、個々のユーザーにとって極めて深刻なリスクをもたらします。最も直接的な脅威の一つは、認証情報漏洩(Credential Stuffing)です。多くのユーザーが複数のオンラインサービスで同じ電子メールアドレスとパスワードの組み合わせを使用しているため、SoundCloudから流出した電子メールアドレスが悪用され、銀行口座やソーシャルメディアアカウントなど、他の重要なサービスへの不正アクセスを試みられる可能性があります。
また、流出した電子メールアドレスは、標的型フィッシング詐欺の温床となります。攻撃者は、SoundCloudのユーザーであることを装い、「サブスクリプション更新」や「セキュリティ警告」といった巧妙な偽の通知を送りつけ、クレジットカード情報やさらなる個人情報を詐取しようとします。これにより、金銭的な被害だけでなく、個人情報のさらなる流出につながる恐れがあります。
独立系アーティストやクリエイターにとっては、事態はさらに複雑です。個人の法的メールアドレスが公開プロフィールに紐付けられることで、悪意のある第三者によるドクシング(Doxing)、すなわち実名や居住地の特定、さらには嫌がらせや脅迫といったプライバシー侵害のリスクが高まります。これは、アーティストの活動だけでなく、日常生活にも深刻な影響を及ぼしかねません。
SoundCloudが非公開企業であるという事実も、ユーザーへの影響に拍車をかけています。公開企業とは異なり、非公開企業はSECへの即時開示(8-K)義務がなく、データ侵害通知の基準が異なります。そのため、ユーザーは公式なデータ侵害通知書をすぐに受け取れない可能性があり、悪意のある行為者が個人の認証情報を侵害しようと試みた後に通知が届くことも考えられます。ニューヨークに本社を置くSoundCloudは、NY SHIELD法を含む厳格な州のデータプライバシー法の下にあり、消費者の個人情報を保護する法的義務を負っています。もしSoundCloudの過失が個人情報のダークウェブへの流出につながった場合、被害者は補償を受ける権利があるかもしれません。
脅威の進化と企業の防御戦略:多層的な対策の必要性
ShinyHuntersによる一連の攻撃は、サイバー脅威が技術的な脆弱性だけでなく、人間の要素を狙うソーシャルエンジニアリングへと巧妙に進化している現状を明確に示しています。特に、リアルタイムの音声フィッシングと高度なフィッシングキットを組み合わせる手口は、従来の防御策を容易に突破し、多要素認証(MFA)すらも迂回する能力を持っています。これは、企業が「人間のファイアウォール」の強化にこれまで以上に注力する必要があることを示唆しています。
企業は、従業員に対して、このような進化する音声フィッシング攻撃に関する具体的な教育と意識向上トレーニングを継続的に実施することが不可欠です。ITサポートを装った電話や、MFAのプッシュ通知を促すような不審な要求に対しては、必ず公式な帯域外チャネル(例えば、事前に共有された電話番号や内部システム)を通じて確認するよう徹底させるべきです。これにより、従業員が攻撃者の巧妙な誘導に騙されるリスクを大幅に低減できます。
さらに、技術的な対策も怠ることはできません。OktaやSilent Pushが推奨するように、組織は運用サポートシステム(OSS)のプロバイダーログを定期的に監査し、新しいデバイスがアカウントに登録されたり、新しいIPアドレスからのログインがあったりする兆候がないか監視する必要があります。これは、攻撃者が初期アクセスを獲得した後、内部ネットワークでの横展開やデータ窃取を試みる際に残す痕跡を早期に発見するために重要です。
今回のSoundCloudやBetterment、Match Groupといった多様な企業への攻撃は、特定の業界に限定されない広範な脅威であることを示しています。サイバーセキュリティは、もはやIT部門だけの責任ではなく、組織全体で取り組むべき経営課題であり、技術、プロセス、そして人間の三位一体の防御戦略が求められています。ShinyHuntersのような脅威アクターの活動は今後も続くと予想され、企業は常に警戒を怠らず、防御策を継続的に見直し、強化していく必要があります。
参考情報
本記事は以下の情報源を参考に作成されました:
- -SoundCloud Data Breach Alert: 30 Million at Risk - https://www.woodslaw.com/soundcloud-data-breach-alert/
- -A new wave of ‘vishing’ attacks is breaking into SSO accounts in real time - https://cyberscoop.com/shinyhunters-voice-phishing-sso-okta-mfa-bypass-data-theft/
- -ShinyHunters ramp up new vishing campaign with 100s in crosshairs - https://www.csoonline.com/article/4124684/shinyhunters-ramp-up-new-vishing-campaign-with-100s-in-crosshairs.html