アニメ配信Crunchyrollで680万人の個人情報が流出。外部委託先から侵入された
世界最大のアニメ配信Crunchyrollから680万ユーザーの個人情報が流出した。外部委託先のアカウント経由で侵入され約100GBのデータが抜かれた。経緯と対策を解説する
ニュース
kkm
Backend Engineer / AWS / Django
2026年3月12日、世界最大のアニメ配信プラットフォームCrunchyrollがハッキングされました。約680万人分のメールアドレスを含む100GBのデータが流出したとされています。
犯行グループはShinyHunters。直接Crunchyrollに侵入したのではなく、業務委託先のサポート会社を経由して内部システムにアクセスしました。Crunchyrollは3月23日に声明を発表し、調査中であることを認めています。
Crunchyrollはソニーグループ傘下の企業です。ソニーにとって、2011年のPlayStation Network事件(7700万人のデータ流出)以来の大規模なセキュリティインシデントとなる可能性があります。
Crunchyrollとは何か
Crunchyrollは、日本のアニメや漫画を海外向けに配信するプラットフォームです。Sony Pictures EntertainmentとAniplex(Sony Music Entertainment Japan傘下)が共同で運営しています。
| 項目 | 数値 |
|---|---|
| 登録ユーザー | 1億2,000万人以上 |
| 有料会員 | 約1,700万人(2025年5月時点) |
| Sony Pictures収益への貢献 | 総収益の約15% |
| 過去5年の有料会員成長率 | 3倍以上 |
なお、日本からはCrunchyrollを利用できません。日本国内のアニメ配信権は別の事業者が持っているため、地域制限(ジオブロック)で日本からのアクセスは遮断されています。ただし、海外在住の日本人ユーザーや、VPN経由で利用している人は影響を受ける可能性があります。
どうやって侵入されたのか
攻撃は、Crunchyrollのシステムに直接侵入したのではなく、外部の業務委託先を経由したサプライチェーン攻撃です。
攻撃の流れは以下の通りです。
- 1. ShinyHuntersは2025年にSalesloft(営業支援ツール会社)をハッキングし、大量のデータを盗んだ
- 2. 盗んだデータの中から、Telus Digital(Crunchyrollのサポート業務委託先)のGoogle Cloud Platform認証情報を発見
- 3. Telus Digitalの従業員のパソコンにマルウェアを感染させた
- 4. Okta SSO(シングルサインオン)の認証情報を奪取。これにより、Crunchyrollのサポートエージェントとして内部システムにアクセスできるようになった
- 5. Zendesk(サポートチケット管理)をはじめ、Slack、Jira、Google Workspace Mailなど複数のシステムからデータを抽出
つまり、「会社Aを攻撃する → 会社Bの認証情報を見つける → 会社Bを経由して本来のターゲット(Crunchyroll)に入る」という連鎖です。Hackreadの報道によると、ShinyHuntersはTelus Digital全体に対して700TB〜1PBのデータ窃取を主張しており、Crunchyrollはその一部にすぎません。
何のデータが漏れたのか
| データ種別 | 詳細 |
|---|---|
| メールアドレス | 約680万件 (ユニーク) |
| ユーザー名・ログイン名 | あり |
| IPアドレス | あり |
| 大まかな位置情報 | あり |
| サポートチケットの内容 | 約800万件 |
| クレジットカード情報 | チケット内にユーザーが 自分で記載した場合のみ |
重要な点として、クレジットカード情報のシステム的な流出ではありません。Beebomの報道によると、BleepingComputerが攻撃者から提供されたサンプルデータを検証した結果、カード情報が含まれていたのは「ユーザーがサポートチケットの中に自分でカード番号を書いた場合」のみでした。大半は下4桁と有効期限だけで、フルカード番号は少数です。
ただし、Crunchyrollの公式声明が「customer service ticket data」に限定しているのに対し、攻撃者は「100GBのcustomer analytics data(個人情報を含む顧客分析データ)」の存在も主張しています。全容はまだ判明していません。
発覚から公表まで11日かかった
← スワイプで移動
侵入が3月12日、Crunchyrollが検知・遮断したのが翌13日。ここまでは24時間で対応しています。しかし、公式声明が出たのは11日後の3月23日です。
EUのGDPR(一般データ保護規則)では、個人データの侵害を認識してから72時間以内に監督当局へ通知する義務があります。Crunchyrollの11日間の沈黙がGDPR違反に該当するかどうかは、今後の調査次第です。
技術的に見ると「外部委託の穴」が狙われている
今回の攻撃で注目すべきは、Crunchyroll自身のシステムが直接破られたわけではないという点です。攻撃者はBPO(業務プロセスアウトソーシング)パートナーを経由しました。
Okta SSO(シングルサインオン)は、1つのログイン認証で複数のサービスにアクセスできる便利な仕組みです。しかし裏を返せば、SSOの認証が1つ突破されると、そこに接続されたすべてのサービスが開放されます。今回の場合、Zendesk、Slack、Jira、Google Workspace Mailなど少なくとも7つのシステムにアクセスされました。
もう一つの問題は、Crunchyrollがネイティブの2FA(二要素認証)を提供していないことです。ResetEraのフォーラムでは、2024年にCrunchyrollの契約社員だったユーザーが「リモートのセキュリティ対策はほぼ存在しなかった」と証言しています。
外部委託先を含めたセキュリティ管理は、多くの企業にとっての盲点です。自社のシステムがいくら堅牢でも、アクセス権を持つ委託先のセキュリティが甘ければ、そこが突破口になります。
ユーザーは何をすべきか
- 1. パスワードの変更: 特にCrunchyrollと同じパスワードを他のサービスでも使い回している場合は、すべて変更してください
- 2. フィッシングメールへの警戒: サポートチケットの内容が漏れているため、「以前お問い合わせいただいた件について」といったソーシャルエンジニアリング攻撃に悪用される可能性があります
- 3. 支払い履歴の確認: 不審な取引がないかチェックしてください。PayPal、Google Pay、Apple経由で支払っていた場合は仮想カード番号が使われているため比較的安全です
- 4. カード再発行の検討: サポートチケットの中でカード番号を直接記載したことがある場合は、カードの再発行を検討してください
Crunchyrollからユーザーへの直接通知(メール等)は、この記事の公開時点では確認されていません。
Sonyグループのセキュリティ事件は繰り返されている
| 年 | 事件 | 影響規模 |
|---|---|---|
| 2011年 | PlayStation Network | 7,700万アカウント 損害額1.7億ドル |
| 2011年 | Sony Online Entertainment | 2,500万アカウント |
| 2014年 | Sony Pictures (北朝鮮関与) | 従業員情報、未公開映画、 給与、社会保障番号 |
| 2016年 | Funimation (現Crunchyroll) | 250万アカウント |
| 2026年 | Crunchyroll(今回) | 680万ユーザー 100GBのデータ |
Funimation(2020年にCrunchyrollに統合)が2016年に250万アカウントの漏洩を経験していることを考えると、同じプラットフォームが2度目の被害を受けた格好です。Sony Pictures収益の15%を占めるサービスとして、セキュリティ体制の見直しが求められる局面です。
参照元
- •ScreenRant: Crunchyroll Breach - Official Response
- •CBR: Crunchyroll Data Leak - Official Statement
- •Beebom: Crunchyroll Data Breach - Should You Be Worried?
- •CybersecurityNews: Crunchyroll Data Breach
- •AnimeMojo: What User Data Was Exposed
- •Hackread: ShinyHunters 1PB Data Breach at Telus Digital
- •Cybersecurity Dive: Telus Digital Cyberattack
- •International Cyber Digest(X): 第一報
- •ResetEra: Crunchyroll was hacked, 100 GB of data exposed
