Hackreadが2026年5月25日に最初に報じたところによると、エイリアス「Euphoric_Reply_5727」を名乗る脅威アクターが、OnlyFansに関連するとされる3億4000万件のユーザーレコードを0.313 BTCで販売している。対象はクリエイターとファンを含むとされる。出品者は当初OnlyFansの内部データベース由来と主張したが、その後Telegram上で侵害は行っていないと述べ、過去の漏洩データと公開プロフィール情報をOnlyFansアカウントと突合して構築したと説明した。
Hackreadが確認したサンプルには、ユーザー名、メールアドレス、電話番号、登録日、アカウント種別、ソーシャルリンク、フォロワー数、いいね数、アップロードコンテンツ数、cardフィールドが含まれた。OnlyFansによる新規侵害の公的確認はない。
From: 
Hacker Selling 340 Million OnlyFans User Records Built From Old Breache
【編集部解説】
このニュースは「OnlyFansが新たにハッキングされた」というセンセーショナルな見出しで拡散していますが、複数の情報源を突き合わせると、もう少し複雑な構造が見えてきます。
Hackreadに加えて、Cybernews、IBTimes UK、TechRepublicなど複数の海外メディアが今回の出品を検証していますが、いずれも「OnlyFansのサーバーが直接侵害された証拠はない」と結論づけている点で一致しています。出品者自身もTelegram上で「我々はOnlyFansを侵害したわけではない。既存の漏洩・流出データと、OnlyFansプラットフォームのユーザーを突合した」と明言しました。IBTimes UKの追加報道によれば、原材料となった漏洩データの出所として、Twitter、Instagram、Spotifyなどの過去の流出データが挙げられているとのことです。
ここで注目したいのが、サイバーセキュリティの世界で「コンピレーション・リーク」と呼ばれる現象です。これは、新規のハッキングを行うのではなく、過去にダークウェブなどに流出した複数のデータベースを買い集め、共通するメールアドレスや電話番号をキーに突合・結合して「あたかも新しい大規模流出データ」として再パッケージ化する手口です。RockYou2024など、近年は数十億件規模のコンピレーションリークも報告されています。
技術的な検証も進んでいます。X上で本件の技術的分析を公開したタット・タン氏(@tatthang)は、サンプルに含まれるstreams_countやlikes_countといったフィールド名が、バックエンドのデータベース列というよりフロントエンドAPIの属性に近いと指摘し、「内部サーバー侵害の証拠としては不自然」だと分析しました。またCybernewsは、サンプルの一部が2025年8月頃の日付を示しており、データそのものが新しくないことも報告しています。
では、なぜ「OnlyFans」というラベルがこれほど高値で取引されるのでしょうか。鍵は、データの真偽ではなく「文脈価値」にあります。一般的なメールアドレスのリストと、「OnlyFansユーザーのメールアドレス」とラベリングされたリストでは、後者の方がはるかに恐喝・脅迫の材料として機能してしまうのです。たとえそのラベリングが不正確であっても、受け取った被害者は反論コストの方が高いと感じてしまいます。これが、サイバー犯罪者がブランド名を武器化する経済合理性です。
OnlyFansは2024会計年度時点で約3億7750万人の登録ファンアカウントを抱える巨大プラットフォームであり、3億4000万件という数字自体は不自然ではありません。だからこそ、被害規模の真偽より「人々がそれを信じてしまうこと」自体がリスクとなる構造があります。
規制面では、EU圏のGDPR、米国のCCPA、そして日本の改正個人情報保護法のいずれも、他情報と容易に照合して個人を識別できる情報を「個人情報」または「個人データ」の保護対象に含めています。再構築されたデータセットであっても、メールアドレスや電話番号を含めば各法の対象となり得るのです。曖昧なのはむしろ、OnlyFans自身に侵害通知義務や直接的な責任が発生するかという点で、これは事実関係次第となります。直接侵害の証拠がない現時点では一次的責任を問うのは困難ですが、被害者保護の観点では、プラットフォーム側にも注意喚起や認証強化が求められる時代に入っています。
長期的に見ると、今回の事案は「ハック報道の検証リテラシー」を市民が身につけるべき分岐点を象徴しています。生成AIによる情報拡散の高速化と相まって、私たち一人ひとりが「事実」と「ブランドのラベル」を切り分ける目を養う必要があるでしょう。具体的には、自分のメールアドレスがHave I Been Pwnedなどの漏洩確認サービスに登録されていないか定期的にチェックし、パスワードを使い回さないという基本動作が、こうした脅威に対する最も実効的な防御線となります。
【用語解説】
コンピレーション・リーク
新規のハッキングを行わず、過去にダークウェブ等に流出した複数のデータベースを買い集め、共通項(メールアドレス、電話番号等)をキーに突合・結合して、あたかも単一の新規大規模流出データであるかのように再パッケージ化する手口である。2024年に報告された「RockYou2024」は約100億件のパスワードを集約したコンピレーション・リークの代表例だ。
ダークウェブ
通常の検索エンジンではインデックスされず、Tor等の専用ブラウザを介してのみアクセス可能なインターネット領域を指す。匿名性が高いため、サイバー犯罪フォーラムや盗難データの取引市場として悪用されることが多い。
BTC(ビットコイン)
分散型台帳技術(ブロックチェーン)に基づく暗号資産の代表的銘柄である。匿名性と国境を越えた送金の容易さから、サイバー犯罪の支払い手段として用いられる事例が後を絶たない。
バックエンドDB列/フロントエンドAPI属性
バックエンドDB列はサーバー内部のデータベースに保管された実際のカラム名を指す。一方フロントエンドAPI属性は、外部に公開されるアプリ画面用に整形・命名されたデータ項目だ。両者の命名規則は通常異なるため、流出データの真贋判定の手掛かりとなる。
GDPR/CCPA/改正個人情報保護法
それぞれEU(一般データ保護規則)、米カリフォルニア州(カリフォルニア州消費者プライバシー法)、日本における個人データ保護の枠組みである。いずれも他情報と照合して個人を識別できる情報を保護対象に含めるが、「再構築データセット」に対するプラットフォーム事業者の通知義務範囲については議論が続いている。
【参考リンク】
OnlyFans 公式サイト(外部)
英国Fenix International Limitedが運営するクリエイター向けサブスクリプション型コンテンツ配信プラットフォーム。
Hackread(外部)
サイバーセキュリティ、データ漏洩、ハッキング関連ニュースを専門に扱う情報メディアで、本件の第一報を担った。
Cybernews(外部)
リトアニア発の独立系サイバーセキュリティメディア。データ漏洩調査やプライバシー検証記事に定評がある。
International Business Times UK(外部)
グローバルなビジネス・テクノロジーニュースを発信する国際メディア。本件では二本の検証記事を発表している。
TechRepublic(外部)
IT専門家向けの技術ニュースとリサーチを発信する米国の老舗メディアで、企業のセキュリティ担当者に広く読まれている。
Telegram(外部)
クラウド型メッセージングアプリ。エンドツーエンド暗号化と匿名性の高さから、地下フォーラムの連絡手段としても利用される。
Have I Been Pwned(外部)
自分のメールアドレスが過去の漏洩データに含まれていないかを無料で確認できるサービス。
【参考記事】
Hacker Selling 340 Million OnlyFans User Records Built From Old Breaches(外部)
本件の第一報。3億4000万件のレコードが0.313 BTCで出品され、Telegramでの直接接触で出品者が侵害を否定した経緯を詳述した記事。
OnlyFans Hacked? Truth Behind the Viral 340 Million User Data Leak Claims — Should You Panic?(外部)
タット・タン氏(@tatthang)のフィールド名分析を引用し、技術的観点から「フェイクニュースである可能性が高い」とする見解を示した検証記事。
340 Million OnlyFans Users Allegedly Exposed After Hacker Builds a Database From Old Breaches(外部)
突合素材としてTwitter、Instagram、Spotifyの過去漏洩データが用いられたと報じ、サンプルの2025年8月頃の日付にも言及した追跡記事。
OnlyFans mega leak reveals 340M user records, hackers claim(外部)
3億4000万件の規模感と、サンプルが「None」等のプレースホルダー値を含むテキスト形式であった点を技術分析した記事。
Hacker Lists 340M OnlyFans User Records for Sale(外部)
販売価格0.313 BTCとサンプルの不完全性を、企業セキュリティ担当者向けに整理した記事。
【編集部後記】
今回の事案で私自身が考え込んでしまったのは、「真偽がはっきりしないまま、ブランド名だけが一人歩きしてしまう怖さ」でした。私たちは日々、SNS上で「○○がハッキングされた」という見出しを目にしますが、その一次情報をどこまで辿れているでしょうか。
みなさんも一度、ご自身のメールアドレスがこれまでの漏洩データに含まれていないか、Have I Been Pwnedで確認してみませんか。情報セキュリティへの一歩目は、自分自身の足元を知ることから始まると、私は思っています。
