「victim」という別名の脅威アクターが、株式会社TOKYO FMへのデータ侵害の責任を主張している。2026年1月1日に観測されたとされるこの侵入により、300万件以上のレコードを含むデータベースが窃取されたと主張されている。
流出したとされる情報には、氏名、生年月日、メールアドレス、IPアドレス、ユーザーエージェント文字列、ログインID、職業関連情報が含まれる。TOKYO FMは正式に侵害を確認していない。
この事件は現在「検証保留中」に分類されており、サイバーセキュリティアナリストが攻撃者によって提供されたデータサンプルの真正性を検証している段階である。
From: 
Threat Actor Allegedly Claims Breach of Tokyo FM Broadcasting Systems
【編集部解説】
今回の事案で最も注目すべきは、攻撃が元日に観測されたという点です。新年の祝日というタイミングは、セキュリティチームの監視体制が手薄になりやすく、攻撃者にとって格好の機会となります。
現在このインシデントは「検証保留中(Pending Verification)」というステータスにあります。これは、攻撃者が主張する内容が本当かどうかを、セキュリティアナリストがデータサンプルを分析して確認している段階を意味します。虚偽の主張で身代金を要求したり、注目を集めようとする攻撃者も存在するため、この検証プロセスは非常に重要です。
実はTOKYO FMは過去にもサイバー攻撃の標的となっています。2023年1月には同社が運営するECサイトのプラットフォームが不正アクセスを受け、顧客メールアドレスが流出する事案が発生しました。今回の攻撃が事実であれば、同社にとって3年ぶりの大規模なインシデントとなります。
放送局が保有するデータは、一般的に想像される以上に多岐にわたります。リスナー登録情報、プレゼント応募データ、番組参加者情報、さらには従業員の業務システムへのアクセス情報など、幅広い個人情報が蓄積されています。
今回流出したとされるログインIDは、特に警戒が必要です。多くのユーザーが複数のサービスで同じIDとパスワードを使い回しているため、攻撃者は「クレデンシャルスタッフィング」という手法で、流出した認証情報を使って他のサービスへのログインを試みます。ボットを使った自動化攻撃により、短時間で大量のサービスが標的となる可能性があります。
近年、日本企業のデータはダークウェブ市場で高い需要があります。特に中国語圏の脅威アクターが日本の企業データに強い関心を示しており、2025年3月にも300万件規模の日本の顧客データがダークウェブで販売される事案が報告されています。地政学的な緊張関係も背景にあり、日本の組織は従来以上に高度なサイバーセキュリティ対策が求められる環境に置かれています。
TOKYO FMからの公式発表がまだない状況では、リスナーや関連サービス利用者は予防的な対応が推奨されます。同社のサービスで使用しているパスワードを他のサービスでも使っている場合は、直ちに変更することが賢明です。
【用語解説】
脅威アクター
サイバー攻撃を実行する個人または組織の総称。国家支援型ハッカー、サイバー犯罪グループ、個人のハッカーなど様々な形態が存在する。多くの場合、匿名性を保つために偽名やハンドルネームを使用して活動する。
検証保留中(Pending Verification)
サイバーセキュリティ業界において、攻撃者が主張するデータ侵害が本物かどうかを専門家が確認している状態を指す。攻撃者が提供したデータサンプルの真正性、侵害の規模、影響範囲などを分析し、事実関係を確定する重要なプロセスである。
クレデンシャルスタッフィング
流出したユーザー名とパスワードの組み合わせを使い、複数のサービスへ自動的にログインを試みる攻撃手法。多くのユーザーが異なるサービスで同じ認証情報を使い回している習慣を悪用する。ボットによる大規模な自動攻撃が可能である。
ダークウェブ
通常の検索エンジンではアクセスできない、特殊なソフトウェアを必要とするインターネット空間。匿名性が高く、違法な商品やサービス、盗まれたデータなどが取引される闇市場として機能している。
個人識別情報(PII)
Personally Identifiable Informationの略。氏名、生年月日、メールアドレス、住所など、個人を特定できる情報の総称。これらが流出すると、なりすましや詐欺などの犯罪に悪用されるリスクがある。
ユーザーエージェント文字列
ウェブブラウザがサーバーに送信する、使用しているブラウザの種類やバージョン、オペレーティングシステムなどの情報。この情報を分析することで、ユーザーの使用環境を特定できる。
【参考リンク】
TOKYO FM 公式サイト(外部)
株式会社TOKYO FMの公式ウェブサイト。番組情報やラジオの聴取方法を提供する日本を代表するFMラジオ放送局
OWASP Foundation – Credential Stuffing(外部)
世界的なセキュリティコミュニティによるクレデンシャルスタッフィング攻撃の解説ページ
Ping Identity – Credential Stuffing解説(外部)
アイデンティティセキュリティ企業による攻撃の仕組み、統計データ、防御戦略の包括的な解説
【参考記事】
Tokyo FM Data Breach: Hacker Claims Over 3 Million Records Stolen(外部)
HackReadによる同事案の報道。流出データの詳細とフィッシング攻撃やクレデンシャルスタッフィングのリスクを分析
3 Million Lines of Customer Data from Japan Put Up for Sale(外部)
2025年3月に日本の顧客データ300万件がダークウェブで販売された事案を報じた記事
Zooming into Darknet Threats Targeting Japanese Organizations(外部)
日本の組織を標的とするダークウェブ上の脅威について分析。中国語圏の脅威アクターの動向を詳述
【編集部後記】
このニュースを読んで、ご自身のパスワード管理について振り返ってみてはいかがでしょうか。正直なところ、私自身も複数のサービスで同じパスワードを使い回していた時期がありました。
今回のような事案が「検証保留中」であっても、予防的に行動することの大切さを改めて感じています。皆さんは、ラジオ局のような「一見セキュリティと無縁そうなサービス」でも個人情報が蓄積されていることを意識されていましたか。これを機に、普段利用しているサービスのセキュリティ対策を一緒に見直してみませんか。
