2026年1月27日、SoundCloudから盗まれたデータが公開され、2,980万ユーザーの名前、ユーザー名、メールアドレス、地理的位置、プロフィール統計、アバターが流出した。
同日、Have I Been Pwnedサービスにこの侵害情報が登録され、ユーザーは自分の情報が含まれているか確認可能になった。SoundCloudは2025年12月に補助的なサービスダッシュボードで不正アクティビティを検出し、サードパーティのサイバーセキュリティ専門家を招集していた。
攻撃者は約20%のユーザーのメールアドレスと公開プロフィール情報にアクセスしたが、金融データやパスワードは影響を受けていない。攻撃後、同社は繰り返しDoS攻撃を受け、そのうち2回はウェブサイト経由のアクセスを一時的に停止させた。
ローレンス・エイブラムスによれば、サイバー恐喝グループShinyHuntersが関与しており、恐喝に失敗した後にデータを公開したとされる。
From: 
SoundCloud breached, hit by DoS attacks
【編集部解説】
攻撃者が使用した手法は「エニュメレーション」または「スクレイピング」と呼ばれる技術です。通常、SoundCloudではメールアドレスは公開されていませんが、攻撃者は内部サービスダッシュボードへの不正アクセスを通じて、公開プロフィール情報とメールアドレスを自動的に紐付けました。この手法はマルウェアを使わず、認証情報ベースの攻撃であるため、従来のセキュリティ対策では検知しにくいという特徴があります。
ShinyHuntersは2020年頃から活動する金銭目的の恐喝グループで、大企業を標的にして公に名前を晒すことで知られています。興味深いのは、同グループがランサムウェアによる暗号化を行わず、単にデータを盗んで公開すると脅す手法を使っている点です。実際、SoundCloudと同じ日にCrunchbaseやBettermentからも盗んだとされるデータをリークしており、組織的なキャンペーンの一環である可能性があります。
VPN経由のアクセスが一時的にブロックされた背景には、DoS攻撃への対処があります。SoundCloudはロシア、中国本土、トルコで公式にブロックされているため、これらの地域のユーザーはVPNに依存しています。攻撃への対策として実施されたファイアウォール設定の変更が、正規のVPNユーザーにも影響を及ぼしてしまいました。
身代金を支払わなかった企業の場合、盗まれたデータは恒久的に地下経済に流通し続けます。今回リークされた2,980万のメールアドレスは、今後何年にもわたってフィッシングキャンペーン、スパムリスト、ソーシャルエンジニアリング攻撃に利用される可能性があります。侵害事件そのものは終わりましたが、ユーザーへの影響はこれから始まると言えるでしょう。
【用語解説】
DoS攻撃(サービス妨害攻撃)
Denial of Serviceの略で、大量のリクエストを送りつけてサーバーに過負荷をかけ、正規ユーザーがサービスを利用できなくする攻撃手法である。複数のコンピューターから同時攻撃を行うDDoS攻撃もある。
エニュメレーション
システム内の情報を体系的に列挙・収集する技術である。攻撃者は自動化ツールを使い、ユーザーIDやメールアドレスなどを順番に取得していく。マルウェア感染が不要なため、検知が困難とされる。
ランサムウェア
データを暗号化して使用不能にし、復号と引き換えに身代金を要求するマルウェアである。近年は暗号化せずにデータを盗んで公開すると脅す「恐喝型」の手法も増えている。
フィッシング
正規の企業やサービスを装ったメールやウェブサイトを使い、ユーザーから個人情報やパスワードを騙し取る詐欺手法である。漏洩したメールアドレスは標的リストとして悪用される。
ソーシャルエンジニアリング
技術的な脆弱性ではなく、人間の心理的な隙を突いて情報を引き出す攻撃手法である。漏洩した個人情報を使って信頼を得ることで、より巧妙な攻撃が可能になる。
【参考リンク】
SoundCloud(外部)
ドイツ・ベルリン発の音楽ストリーミングプラットフォーム。月間アクティブユーザーは約7,600万に達する。
Have I Been Pwned(外部)
メールアドレスを入力すると過去の侵害事件で自分の情報が漏洩していないか確認できる無料サービス。
【参考記事】
SoundCloud breach added to HIBP, 29.8 million accounts exposed(外部)
2026年1月26日、Have I Been PwnedにSoundCloud侵害が登録され、2,980万アカウントが影響を受けたことが確認された。
Massive SoundCloud Data Breach Exposes Personal Details of 29.8 Million Users(外部)
攻撃者はエニュメレーションまたはスクレイピング技術を使用してデータを収集した。マルウェア感染を伴わないため検知が困難である。
SoundCloud Data Breach 2025: 29.8 Million Accounts Exposed and Indexed by Have I Been Pwned(外部)
侵害は2025年12月に発生し、名前、ユーザー名、メールアドレス、地理的位置、プロフィール統計、アバターが含まれる。
SoundCloud Statistics 2026: Genres, Creators(外部)
SoundCloudの月間アクティブユーザー数は約7,600万であり、今回の侵害で影響を受けたアカウントは全体の約23%に相当する。
SoundCloud confirms cyber incident following outages. Is ShinyHunters to blame?(外部)
ShinyHuntersは2020年頃から活動する恐喝グループで、同時期にCrunchbaseやBettermentからもデータを盗んだと主張している。
SoundCloud Breach Exposes 29.8 Million Emails to Hackers(外部)
漏洩したメールアドレスは地下経済で恒久的に流通し続け、フィッシングキャンペーン、スパムリスト等に利用される。
【編集部後記】
今回の事案を通じて、私たち自身も改めて考えさせられました。公開プロフィールだから安全、VPNを使っているから大丈夫、そんな思い込みが崩れる瞬間を目の当たりにしています。
皆さんのメールアドレスは、Have I Been Pwnedで確認されましたか?過去の侵害も含めて、自分のデジタルフットプリントがどこまで広がっているのか、一度立ち止まって見つめ直す機会かもしれません。
音楽を楽しむという日常的な行為が、サイバー攻撃の標的になる時代です。私たちはどのようにテクノロジーと向き合い、自分の情報を守っていけば良いのでしょうか。皆さんと一緒に、この問いを考えていきたいと思います。
がもたらす「アンテザード・ソサエティ」の衝撃-300x200.png)
