Substackは、ジャーナリスト、学者、専門家、そして時に物議を醸す論者たちが独自のコンテンツを発信する場として、近年急速にその存在感を高めてきたパブリッシングプラットフォームです。2017年の創業以来、同社は従来のニュース業界に代わる重要な選択肢として成長し、現在では500万以上の有料購読者と約2000万人の月間アクティブユーザーを誇り、1万7000人ものライターが収益を得ています。しかし、この成長の陰で、同社は重大なセキュリティ侵害に見舞われました。
2026年2月3日、Substackは自社システム内の「未特定の弱点」が悪用され、第三者によってユーザーデータへの不正アクセスが行われた証拠を特定したと発表しました。この侵害により、ユーザーのメールアドレス、電話番号、そして「その他の内部メタデータ」が流出したとされています。驚くべきことに、このデータ流出は2025年10月に発生しており、発覚までに最大で4ヶ月もの期間が経過していたことが明らかになりました。
SubstackのCEOであるクリス・ベスト氏は、影響を受けたユーザーに宛てたメールの中で、「この問題を引き起こしたシステムの問題は修正済みである」と述べ、現在も「完全な調査を実施中であり、将来的にこのような問題の発生を防ぐためのシステムとプロセスの改善策を講じている」と説明しました。同氏はまた、現時点では流出した情報が悪用された証拠はないとしつつも、ユーザーに対して不審なメールには細心の注意を払うよう促しています。
この情報漏洩は、クレジットカード番号、パスワード、その他の金融情報には及ばなかったとされていますが、闇ウェブ上では約70万件に及ぶユーザー記録が侵害されたとの主張が浮上しており、その中にはStripeの支払いシステムに関連するIDも含まれていると報じられています。Substackは、この闇ウェブ上の主張の規模と範囲が真実であるかについては確認していませんが、この事態はプラットフォームの信頼性とユーザーの個人情報保護に対する懸念を深めるものとなっています。
闇ウェブに現れた70万件の記録:漏洩データの深層
今回の情報漏洩事件において、最も懸念される点の一つは、闇ウェブ上で流出データに関する具体的な主張がなされていることです。ある闇ウェブの情報源は、Substackのシステムから約69万7313件もの記録が侵害されたと主張しており、別の報道では約70万件のユーザー情報が盗まれたと伝えられています。これらの主張は現時点ではSubstackによって公式に確認されていませんが、流出したデータの詳細が示唆されており、その潜在的な影響の大きさを物語っています。
闇ウェブの情報源が主張する流出データには、メールアドレス、電話番号に加え、ユーザーID、プロフィール画像、経歴(バイオグラフィー)といった個人を特定し得る情報が含まれているとされます。さらに、ユーザーが購読者からの支払いを受け取るために使用する決済システムであるStripeのIDも侵害されたと報じられています。これらの情報は、単独でも悪用されるリスクがありますが、組み合わされることで、より高度な標的型フィッシング攻撃やソーシャルエンジニアリングの基盤となり得ます。
Substackがユーザーに送付したメールでは、流出したデータを「メールアドレス、電話番号、その他の内部メタデータ」と比較的曖昧に表現していました。しかし、同社のプライバシーポリシーを参照すると、「メタデータ」という包括的な用語には、ユーザーID、プロフィール画像、経歴、さらにはIPアドレスなど、サイトの利用方法に応じて広範なデータが含まれる可能性があることが示されています。この情報の不透明さが、ユーザーの不安を一層煽る結果となっています。
今回の侵害は2025年10月に発生したにもかかわらず、Substackがその証拠を特定し、ユーザーに通知を開始したのは2026年2月3日以降でした。この4ヶ月間という長い遅延は、侵害の発見プロセスにおける課題を示唆しています。同社は、推定3500万人のアクティブユーザーのうち、今回の侵害が影響するのはSubstackアカウントを保有する一部のユーザーに限定され、単にメールアドレスでニュースレターを購読しているだけのユーザーは影響を受けないと説明していますが、調査の進展によってはその範囲が拡大する可能性も否定できません。
システムに潜んだ「未特定の弱点」:攻撃経路の推測
Substackが今回の情報漏洩に関して最も曖昧な説明をしている部分の一つが、攻撃者がどのようにしてシステムに侵入したかという点です。同社は、第三者が「未特定の弱点」を悪用してユーザーデータにアクセスしたと述べるに留まっており、具体的な脆弱性の種類や攻撃手法については一切言及していません。このような情報の欠如は、ユーザーやセキュリティコミュニティが今回の侵害の根本原因を理解し、同様の事態を防ぐための教訓を得ることを困難にしています。
攻撃経路が不明であることは、今後のセキュリティ対策を講じる上での課題となります。一般的に、このようなデータ漏洩は、ウェブアプリケーションの脆弱性、設定ミス、またはソーシャルエンジニアリング攻撃など、様々な経路を通じて発生し得ます。Substackが「システムの問題」を修正したと述べていることから、何らかの技術的な脆弱性が悪用された可能性が高いと推測されますが、その詳細が明らかにされない限り、類似の脅威に対する警戒を強めることは難しいでしょう。
Substackの認証システムは、一般的なパスワード方式とは異なり、デフォルトで「マジックリンク」と呼ばれる、ユーザーのメールアドレスに送信されるワンタイムリンクによる認証を採用しています。これにより、パスワードが漏洩するリスクや、フィッシング攻撃によってパスワードが盗まれるリスクは軽減されます。しかし、2023年以前に登録したユーザーはパスワードを設定している可能性があり、オプションで多要素認証(MFA)も利用可能です。今回の侵害ではパスワードの漏洩は報告されていませんが、メールアドレスが流出したことで、マジックリンクを悪用したアカウント乗っ取りのリスクが高まる可能性があります。
同社は、セキュリティシステムやプロセスに関する具体的な情報は共有できないとしつつも、「問題は解決され、再発防止のための安全策が講じられた」と強調しています。しかし、過去には2020年にメールアドレスを「bcc」ではなく「cc」で誤送信し、ユーザーのメールアドレスを意図せず公開してしまった事例もあり、セキュリティ運用における課題が指摘されてきました。今回の「未特定の弱点」の悪用は、Substackのセキュリティ体制におけるより深い問題を示唆しているのかもしれません。
CEOの声明と企業の対応:情報開示の遅れと限定的な通知
Substackの今回の情報漏洩に対する企業の対応は、その情報開示の遅れと限定的な性質において、多くの疑問を投げかけています。侵害が2025年10月に発生したにもかかわらず、ユーザーへの通知が始まったのは2026年2月5日であり、データが最大で4ヶ月間も露出し続けていたことになります。このタイムラグは、サイバーセキュリティインシデントにおける迅速な検知と対応の重要性を改めて浮き彫りにしました。
クリス・ベストCEOは、影響を受けたユーザーに直接メールを送付することで事態を伝えましたが、記事執筆時点では、Substackの公式ウェブサイト上での公開声明は行われていませんでした。これは、侵害がユーザーベースの一部に限定されているという同社の判断に基づいている可能性もありますが、透明性の観点からは疑問が残ります。サイバーセキュリティの専門家は、大規模なデータ漏洩においては、影響を受けたユーザーだけでなく、一般社会に対しても速やかに情報を開示し、信頼を維持することが不可欠であると指摘しています。
メール通知の内容もまた、その表現において物議を醸しました。Substackは、流出したデータを「許可なく共有された」と表現し、インシデントの深刻さを控えめに伝えようとしているように見受けられます。しかし、メールアドレスや電話番号、さらにはStripe IDを含むメタデータが不正にアクセスされた事実は、単なる「共有」では片付けられない重大なセキュリティ侵害です。このような表現は、ユーザーが直面する潜在的なリスクを過小評価させる恐れがあります。
報道機関からのコメント要請に対しても、Substackは沈黙を保ちました。The Record紙の取材に対し、同社は侵害の規模に関するコメントを拒否し、公式声明も発表していません。この対応は、企業が危機管理において透明性を欠いているという批判を招く可能性があります。情報漏洩の全容が明らかになるまでには時間がかかることが多いですが、企業は進行中の調査状況や、ユーザーが取るべき具体的な対策について、より積極的に情報を提供する責任があります。
ユーザーが直面するリスク:フィッシングと個人情報悪用の脅威
今回のSubstackからのデータ漏洩で流出した情報が、直接的に金融情報やパスワードを含まないとはいえ、ユーザーが直面するリスクは決して軽視できるものではありません。メールアドレスと電話番号は、サイバー犯罪者がフィッシング攻撃やスミッシング攻撃を仕掛ける上で最も基本的な足がかりとなる情報だからです。これらの情報が悪意のある第三者の手に渡ったことで、ユーザーは今後、より巧妙でパーソナライズされた詐欺の標的となる可能性が高まります。
特に懸念されるのは、流出した「その他の内部メタデータ」が、メールアドレスや電話番号と組み合わされることです。ユーザーID、プロフィール画像、経歴といった情報が流出している場合、攻撃者はこれらの情報を用いて、ターゲットの興味や活動内容に合わせた、より信憑性の高いフィッシングメールやメッセージを作成することができます。例えば、購読しているニュースレターの内容や、Substack上での活動履歴を装った詐欺は、ユーザーが疑うことなくリンクをクリックしたり、個人情報を入力したりするリスクを高めます。
さらに、闇ウェブ上でStripe IDが侵害されたと主張されている点も看過できません。Substackはクレジットカード番号や金融情報は流出していないと明言していますが、Stripe IDは支払い処理に関連する識別子であり、直接的な金銭的被害には繋がらないとしても、他の漏洩情報と結びつけられることで、ユーザーの支払い履歴や経済活動に関するプロファイリングに悪用される可能性があります。これは、将来的な詐欺や個人情報悪用のリスクを増大させる要因となり得ます。
SubstackのCEOは、流出した情報が悪用された証拠は現時点ではないと述べていますが、ユーザーに対しては「不審なメールには細心の注意を払うよう」促しています。これは、ユーザー自身が能動的にセキュリティ意識を高め、警戒を怠らないことの重要性を示唆しています。マジックリンク認証を採用しているためパスワード変更は不要ですが、メールアドレスが侵害された場合、マジックリンク自体が悪用される可能性も考慮し、多要素認証の有効化など、可能な限りの追加対策を講じることが賢明です。
プラットフォームの信頼性への影響と今後の課題
Substackは、独立したジャーナリズムや専門知識の発信を支えるプラットフォームとして、その信頼性が極めて重要です。今回のデータ漏洩は、多くの著名なジャーナリストや学者、専門家が利用するこのプラットフォームの信頼性に深刻な影を落とす可能性があります。ユーザーは、自身の個人情報が安全に管理されているという前提でサービスを利用しており、その信頼が揺らぐことは、プラットフォームの成長と存続に直接的な影響を与えかねません。
情報漏洩が4ヶ月間も未発見のまま放置されていたという事実は、Substackのセキュリティ監視体制とインシデント対応能力に対する疑問を呈しています。また、侵害の規模や具体的な攻撃手法に関する情報開示が限定的であることも、ユーザーの不信感を募らせる要因となっています。企業がセキュリティインシデントに直面した際、迅速かつ透明性のある情報開示は、失われた信頼を回復し、ユーザーとの関係を再構築するための第一歩です。
Substackは、システムの問題を修正し、再発防止策を講じていると述べていますが、その具体的な内容については明らかにしていません。今後、同社がどのようなセキュリティ強化策を実施し、それをどのようにユーザーに説明していくかが注目されます。特に、ジャーナリストや専門家といった、情報セキュリティに対する意識が高いユーザー層を抱えるプラットフォームとして、より厳格なセキュリティ基準と透明性の確保が求められるでしょう。
成長を続けるニュースレター業界において、Substackのようなプラットフォームは、コンテンツの質だけでなく、ユーザーデータの保護においても高い水準を維持する必要があります。今回の事件は、デジタルパブリッシングプラットフォーム全体に対し、セキュリティ対策の再評価と強化を促す警鐘となるかもしれません。ユーザーは、自身の情報がどこでどのように扱われているのかについて、より詳細な説明と保証を求めるようになるでしょう。
サイバーセキュリティの教訓:遅延発覚と情報開示のバランス
今回のSubstackの情報漏洩事件は、サイバーセキュリティの分野において、いくつかの重要な教訓を示唆しています。最も顕著なのは、侵害の「遅延発覚」がもたらす深刻な影響です。攻撃が2025年10月に発生し、その証拠が特定されたのが2026年2月3日であったという事実は、企業が自社のシステムに対する継続的な監視と、異常検知能力をいかに向上させる必要があるかを浮き彫りにしています。データが長期間にわたって露出し続けることは、悪用されるリスクを飛躍的に高めます。
また、企業の情報開示のあり方も重要な論点です。Substackは影響を受けたユーザーにメールで通知を行いましたが、公式ウェブサイトでの公開声明は行わず、報道機関へのコメントも拒否しました。このような限定的な情報開示は、進行中の調査を妨げないための配慮である可能性もありますが、同時にユーザーの不安を増大させ、企業に対する不信感を招くリスクも伴います。インシデント発生時には、透明性と迅速なコミュニケーションが、信頼回復の鍵となります。
Substackの「マジックリンク」認証システムは、従来のパスワード認証に比べてパスワード漏洩のリスクを低減するという利点がありますが、今回の事件でメールアドレスが流出したことで、その利点が一部損なわれる可能性が浮上しました。メールアドレスが悪意のある第三者の手に渡れば、マジックリンクを悪用したアカウント乗っ取りの試みが増加する恐れがあります。これは、認証方式の選択だけでなく、その周辺にある個人情報の保護がいかに重要であるかを示しています。
最終的に、今回の事件は、あらゆるオンラインサービス提供者に対し、セキュリティ対策の継続的な見直しと強化を促すものです。特に、個人情報を扱うプラットフォームは、潜在的な脆弱性を特定し、迅速に修正する能力、そしてインシデント発生時にはユーザーに対して誠実かつ透明性のある対応を行う責任があります。Substackの事例は、デジタル社会における信頼構築がいかに繊細であり、一度失われた信頼を取り戻すことがいかに困難であるかを改めて私たちに教えています。
参考情報
本記事は以下の情報源を参考に作成されました:
- -Substack data breach leaks users’ email addresses and phone numbers - https://www.csoonline.com/article/4128287/substack-data-breach-leaks-users-email-addresses-and-phone-numbers.html
- -Substack warns customers of data breach following hacker’s dark web claims - https://therecord.media/substack-data-breach-notification