top of page
Blog article

Blog article

SoundCloudにおける大規模データ侵害および合同会社ロケットボーイズによるセキュリティ評価に関する包括的調査報告書

1. エグゼクティブサマリー


2025年12月中旬、世界最大級のオープンオーディオプラットフォームであるSoundCloudは、外部からの不正アクセスによる重大なセキュリティインシデントに見舞われた。本件は、単なるデータ漏洩にとどまらず、その後の対応策に起因する大規模なサービス接続障害(VPN遮断)、脅威アクターによる報復的なDDoS攻撃、そして恐喝行為へと発展する複合的なサイバー攻撃事案となった。


被害規模は全ユーザーの約20%に相当する推計2,800万アカウントに及び、メールアドレスやプロフィール情報が流出した可能性がある 1。攻撃の実行犯としては、国際的なサイバー恐喝集団「ShinyHunters」の関与が濃厚とされており、同集団は同時期に成人向け動画サイトPornHubに対しても同様の攻撃を行っていることが確認されている 3


本報告書では、この一連のインシデントについて、技術的な攻撃手法、組織的な脆弱性、およびユーザーへの影響を多角的に分析する。特に、日本のBtoBマーケティング企業でありながらセキュリティ調査部門「セキュリティ対策Lab」を有する**合同会社ロケットボーイズ(Rocket Boys LLC)**が発表した調査レポートおよび注意喚起の内容に焦点を当て、日本国内のユーザーおよび企業が講じるべき対策について詳述する。ロケットボーイズの分析は、本件が「センシティブ情報」を含まない漏洩であっても、フィッシング攻撃などの二次被害リスクが高まっていることを示唆しており、極めて重要な視点を提供している 4



2. インシデントの全体像とタイムライン分析


SoundCloudに対する攻撃は、単一の事象ではなく、侵入、検知、封じ込め、そして攻撃者による報復という複数のフェーズで構成された複雑なシーケンスであった。以下にその詳細な時系列とメカニズムを分析する。


2.1 攻撃の端緒:付随的サービスダッシュボードへの侵入


2025年12月15日以前、脅威アクターはSoundCloudのコアシステムではなく、「付随的サービスダッシュボード(ancillary service dashboard)」と呼ばれる内部管理システムへの不正アクセスに成功した 1


この「付随的システム」への侵入は、現代のサイバーセキュリティにおける典型的な盲点を突いたものである。企業のコアデータベース(本番環境)は通常、厳重な特権アクセス管理(PAM)や多要素認証(MFA)、ゼロトラストネットワークアクセス(ZTNA)によって保護されている。しかし、カスタマーサポート、マーケティング分析、あるいはコンテンツモデレーションのために使用される「周辺ツール」や「ダッシュボード」は、セキュリティ対策が比較的甘い場合が多い。


ShinyHuntersはこの脆弱性を突き、正規の管理者権限を奪取するか、あるいは脆弱な認証プロセスを回避することでダッシュボードへ侵入したと考えられる。このダッシュボードは、ユーザーのパスワードやクレジットカード情報へのアクセス権限は持たないものの、ユーザーベースの広範なプロファイル情報(メールアドレス、公開情報など)を閲覧・抽出する権限を有していた 6。結果として、脅威アクターはここから約2,800万件のユーザーレコードを抽出(エクスフィルドレーション)することに成功した 1


2.2 検知と防御対応:VPN遮断による混乱


SoundCloudのセキュリティチームは、このダッシュボードにおける不審なアクティビティを検知した後、直ちにインシデントレスポンス(IR)プロトコルを発動した。被害拡大を食い止めるための緊急措置として、システムへのアクセス制御設定(コンフィグレーション)の変更が実施された 7

しかし、この設定変更は意図せぬ副作用をもたらした。セキュリティ強化のために導入されたフィルタリングルールが、VPN(Virtual Private Network)を経由したアクセスを一律に「不正な通信」として誤検知または遮断する結果となったのである。これにより、世界中のVPN利用者、特にロシア、中国、トルコなど、インターネット検閲を回避するためにVPNを常用している地域のユーザーに対し、HTTPステータスコード「403 Forbidden(閲覧禁止)」が返される事態となった 3


発生事象

詳細および影響

設定変更の目的

不正アクセスの遮断とシステム防衛の強化

副作用

VPN経由の正規ユーザーに対するアクセス遮断(403エラー)

ユーザー心理

「SoundCloudがVPNを禁止した」「検閲が強化された」との誤解が拡散

地理的影響

中国(2014年から禁止)、ロシア(2022年から禁止)等のユーザーが完全なアクセス不能状態に陥る 3

当初、ユーザー間ではSoundCloudが意図的にVPNをブロックし始めたとの憶測が飛び交ったが、後に同社はこれがセキュリティ対応に伴う一時的な設定変更によるものであると釈明している 8


2.3 脅威アクターの報復:DDoS攻撃と恐喝


SoundCloud側がアクセスを遮断し、データの流出経路を塞いだことを検知したShinyHuntersは、戦術を「隠密なデータ窃取」から「公然たる攻撃と恐喝」へと転換した。


  1. 分散型サービス拒否(DDoS)攻撃: 攻撃者はSoundCloudのWebインターフェースに対してDDoS攻撃を仕掛けた 6。これは、VPN遮断によって既に不安定になっていたサービス品質をさらに悪化させ、復旧作業にあたるセキュリティチームのリソースを疲弊させることを目的とした「陽動」および「圧力」としての性質を持つ。

  2. 恐喝(Extortion): BleepingComputer等の報道によれば、ShinyHuntersは盗み出したデータベースを人質に取り、SoundCloudに対して身代金の支払いを要求している 3


このように、データの窃取(機密性侵害)に加え、DDoSによるサービス停止(可用性侵害)を組み合わせる手法は「二重恐喝(Double Extortion)」の一形態であり、近年のランサムウェアグループや恐喝グループが好んで用いる高圧的な手口である。



3. 合同会社ロケットボーイズ(Rocket Boys LLC)による調査と分析


本インシデントにおいて、日本国内で特筆すべき動きを見せたのが合同会社ロケットボーイズである。同社は主にBtoBマーケティングや営業支援を行う企業であるが、同時に「セキュリティ対策Lab」を運営しており、今回の事案に関しても迅速な調査レポートと注意喚起を行っている。


3.1 組織概要とレポートの背景


合同会社ロケットボーイズ(本社:東京都品川区、代表:河野拓)は、BtoB展示会支援やマーケティングコンサルティングを主軸とする企業である 11。しかし、同社は「セキュリティ対策Lab」という部門を有しており、ダークウェブの調査やセキュリティニュースの発信、新たな攻撃手法(例:ClickFix)に関する注意喚起などを行っている 4


マーケティング企業がセキュリティ情報を発信することは一見異色であるが、これはデジタルトランスフォーメーション(DX)が進む現代において、企業のマーケティング活動とデータ保護が不可分であることを示唆しているとも解釈できる。同社が2025年12月17日に更新した記事では、SoundCloudのインシデントについて詳細な分析を行っている 4


3.2 ロケットボーイズによる分析の要点


ロケットボーイズのレポートは、SoundCloudの公式発表および海外のセキュリティメディア(BleepingComputer等)の情報を統合し、以下の4点に整理して日本国内のユーザーへ警鐘を鳴らしている。


3.2.1 被害のスコープと性質


ロケットボーイズは、被害を受けたのが全ユーザーの20%(約2,800万アカウント)であること、そして流出した情報が「メールアドレス」および「公開プロフィール情報」に限られる点を明確にしている 4。同社は、SoundCloudが「金融情報やパスワードなどのセンシティブなデータへのアクセスは確認されていない」と強調している点を引用しつつも、これを額面通りに受け取って安心することのリスクを指摘している。


3.2.2 脅威アクターの特定


同レポートでは、攻撃の背後にいるのが「ShinyHunters」であると明記している 4。これはSoundCloud公式が「ある脅威アクターグループ(purported threat actor group)」と名前を伏せているのに対し、より具体的なインテリジェンスを提供している点である。また、ShinyHuntersが同時期にPornHubのプレミアム会員データを人質にした恐喝を行っていることにも触れ、この攻撃が一過性のものではなく、組織的なキャンペーンの一部である可能性を示唆している。


3.2.3 ユーザーへの推奨アクション


ロケットボーイズは、日本のユーザーに対して具体的な防衛策を提示している。

  • フィッシングへの警戒: メールアドレスの流出は、即座にフィッシング攻撃のリスク増大を意味する。特にSoundCloudや音楽関連サービスを騙るメールに対し、送信元の確認やURLの検証を徹底することを求めている 4

  • パスワード管理: パスワード自体は流出していないものの、念のためアカウントのアクティビティを監視し、不審な挙動があれば即座に対応することを推奨している。


3.3 ロケットボーイズの分析から読み取れるインサイト


同社のレポートは、技術的な深掘り以上に「ビジネスリスク」と「ユーザーリテラシー」に焦点を当てている点が特徴的である。特に、VPN障害の原因が攻撃そのものではなく、防御側の設定変更(コンフィグレーション変更)にあった点(403エラー)を正確に解説しており 4、ユーザーの混乱を鎮めるための正確な情報提供を行っている。これは、同社がBtoBマーケティング支援を通じて培った「情報の正確な伝達」というスキルがセキュリティ分野にも活かされている好例と言える。


また、同社が過去に「ClickFix」という新たなサイバー攻撃手法に関する注意喚起を行っていること 11 を踏まえると、SoundCloudの件も単発のニュースとしてではなく、継続的な脅威ウォッチングの一環として取り上げていることがわかる。



4. 脅威アクター「ShinyHunters」のプロファイルと手口


本件の実行犯とされるShinyHuntersは、2020年頃から活動を活発化させている悪名高いサイバー犯罪集団である。彼らの手口と動機を理解することは、今後の防御策を講じる上で不可欠である。


4.1 攻撃の特性:クラウドとAPIを標的に


ShinyHuntersは、伝統的なマルウェアによる感染拡大よりも、クラウドサービスの誤設定、漏洩したAPIキー、および内部ダッシュボードの脆弱性を突くことを得意としている。

今回のSoundCloudの件でも、本番データベースを直接ハッキングするのではなく、「付随的サービスダッシュボード」という、おそらくセキュリティ監視が比較的手薄な経路を選択している 13。これは「最小抵抗経路(Path of Least Resistance)」を狙う彼らの常套手段である。


4.2 ポルノハブ(PornHub)事件との関連性


2025年12月、ShinyHuntersはSoundCloudへの攻撃とほぼ同時期に、成人向け動画サイトPornHubに対しても恐喝を行っていることが報告されている 3

比較項目

SoundCloud インシデント

PornHub インシデント

侵入経路

内部の付随的サービスダッシュボード

サードパーティ分析ベンダー(Mixpanel)経由

漏洩データ

メールアドレス、公開プロフィール

視聴履歴、検索履歴、メールアドレス

データの機微性

中(プライバシー侵害、フィッシングリスク)

極大(社会的信用の失墜、恐喝の材料)

恐喝手法

データの公開脅迫 + DDoS攻撃

データの公開脅迫(特に視聴履歴による脅し)

PornHubの件では、サードパーティであるMixpanel社の過去のインシデント(あるいは設定不備)を悪用し、2021年以前の視聴履歴を含むデータを窃取したと主張している。SoundCloudとPornHub、これら二つの攻撃に共通するのは、「ユーザーのプライバシー」を人質に取るという戦略である。クレジットカード情報が取れなくとも、「誰がどのようなサービスを利用しているか」という情報は、十分に恐喝の材料となり得る。


4.3 恐喝戦術の進化


かつてのShinyHuntersは、盗んだデータをダークウェブのフォーラム(RaidForumsやBreachForumsなど)で販売することを主としていた。しかし、今回のSoundCloudに対するDDoS攻撃の併用 10 は、彼らがより直接的かつ攻撃的な「恐喝モデル」へとシフトしていることを示している。

DDoS攻撃によってサービスの可用性を人質に取ることで、企業側に対し「データの買い戻し」だけでなく「業務妨害の停止」という二重の動機付けを与え、身代金支払いを迫る戦術である。



5. 漏洩データの影響度評価とリスク分析


SoundCloudおよびロケットボーイズの報告によれば、漏洩した情報は「メールアドレス」と「公開プロフィール情報」に限られる。しかし、これを「軽微な被害」と捉えるのは早計である。


5.1 「非センシティブ情報」のリスク


パスワードや決済情報が含まれていないとはいえ、2,800万件のメールアドレス流出は以下のリスクを誘発する。

  1. 標的型フィッシング(Spear Phishing)の高度化:攻撃者は、ユーザーがSoundCloudを利用しているという事実を知っている。これを利用し、「著作権侵害の申し立てがありました」「アカウントのセキュリティ設定を確認してください」といった、サービスの文脈に沿った極めて精巧な偽メールを送ることが可能になる。

  2. クレデンシャル・スタフィング(パスワードリスト攻撃)の加速:多くのユーザーは複数のサービスで同一のメールアドレスを使用している。攻撃者は今回入手したメールアドレスをリスト化し、既に流出している他のパスワードリストと照合することで、他のサービス(金融機関やSNSなど)への不正ログインを試みる可能性がある。

  3. ソーシャルエンジニアリング:公開プロフィール情報(アーティスト名や活動地域など)とメールアドレスを組み合わせることで、より個人的なアプローチによる詐欺が可能となる。例えば、インディーズアーティストに対して「レーベル契約のオファー」を装ったマルウェア感染メールを送付するといった手口が考えられる。


5.2 VPN遮断による地政学的・社会的影響


今回のインシデント対応で特筆すべきは、セキュリティ設定変更によるVPNユーザーの締め出しである。BleepingComputerのローレンス・エイブラムス(Lawrence Abrams)氏らの報道によれば、この措置は少なくとも4日間にわたり継続した 3


  • デジタル・デバイドの拡大: 中国やロシアなど、政府によるインターネット規制が厳しい国々のユーザーにとって、VPNはSoundCloudにアクセスするための生命線である。セキュリティ対策としての一律遮断は、これらのユーザーを物理的にプラットフォームから切り離す結果となった。

  • 信頼の毀損: ユーザーに対して事前の通知なく、また明確な説明もないまま「403 Forbidden」を返し続けたことは、プラットフォームへの不信感を招いた。ロケットボーイズが指摘するように、VPN接続障害とDDoS攻撃が同時に発生したことで、ユーザーの混乱は極致に達した。



6. 技術的考察:なぜ「付随的システム」が狙われるのか


本件の根本原因である「付随的サービスダッシュボード」への侵入は、現代の企業セキュリティにおける構造的な課題を浮き彫りにしている。


6.1 Shadow ITと周辺システムの脆弱性


企業が成長する過程で、コアとなるプロダクト以外に多数の内部ツールが開発・導入される。これらはしばしば、開発スピードを優先するためにセキュリティレビューが省略されたり、レガシーな認証方式が残されたりする傾向がある。


  • 過剰な権限(Over-Provisioning): カスタマーサポート用のツールであっても、全ユーザーのデータを一括でエクスポートできるような過剰な権限が付与されているケースがある。SoundCloudのケースでも、このダッシュボードから2,800万件ものデータにアクセス可能であった点が、設計上の不備(Least Privilegeの原則違反)と言える。

  • 監視の死角: コアシステムのログは24時間365日監視されていても、周辺システムのアクセスログは監査対象外となっている場合がある。ShinyHuntersのような攻撃者は、この「監視の死角」を熟知しており、執拗に周辺システムを探索する。


6.2 DDoS攻撃の技術的側面


攻撃者が用いたDDoS攻撃は、Webインターフェースを標的としたものであり、アプリケーション層(Layer 7)への攻撃であった可能性が高い。これは大量のトラフィックを送りつけるだけでなく、サーバーのリソースを枯渇させるリクエストを送信することで、正規ユーザーのアクセスを妨害するものである。VPN遮断によって正規ユーザーのトラフィックが減少していた隙を突き、さらにシステムを不安定化させる狡猾なタイミングであったと言える。



7. 結論と提言


SoundCloudに対するサイバー攻撃は、単なるデータ漏洩事件にとどまらず、内部システムの脆弱性管理、インシデントレスポンスにおける副作用(VPN遮断)、そして脅威アクターの恐喝戦術の高度化を示す象徴的な事例となった。

合同会社ロケットボーイズの分析が示す通り、パスワード等の直接的な金銭的被害に直結する情報が守られたことは不幸中の幸いであるが、メールアドレスの流出は長期的なセキュリティリスクをユーザーに残すこととなった。


7.1 企業・組織への提言


  1. 周辺システムの洗い出しと堅牢化: 「本番環境ではないから」という理由でセキュリティ対策が後回しにされている内部ツール、ダッシュボード、APIエンドポイントを総点検する必要がある。これらにもMFA(多要素認証)を必須とし、アクセス可能なデータ量を厳格に制限すべきである。

  2. インシデントレスポンスのシナリオ見直し: 攻撃検知時の緊急遮断措置が、正規ユーザー(特にVPN利用者)にどのような影響を与えるかを事前にシミュレーションし、広報体制を含めた対応フローを整備する必要がある。誤解によるブランド毀損を防ぐためには、透明性のあるコミュニケーションが不可欠である。

  3. DDoS対策の強化: 恐喝の一環としてDDoSが用いられることを前提に、CDN(コンテンツデリバリネットワーク)レベルでの緩和策や、トラフィックのスクラビングサービスの導入を検討すべきである。


7.2 ユーザーへの提言(ロケットボーイズの推奨に基づく)


  1. 情報の真偽確認: SoundCloudや関連サービスからのメールに対しては、常に疑いの目を持ち、リンクを安易にクリックしないこと。

  2. 二次被害への備え: 今回流出したメールアドレスをIDとして使用している他のサービスにおいて、パスワードの使い回しをしていないか確認し、可能であればすべてのサービスで二要素認証(2FA)を有効化すること。

  3. 公式情報の参照: 接続障害が発生した際は、SNS上の噂ではなく、公式サイトや信頼できるセキュリティベンダー(ロケットボーイズ等)の情報を参照すること。


本報告書が、SoundCloud事件の全容解明と、今後のサイバーセキュリティ対策の一助となれば幸いである。




参照情報(出典ID)

  • 合同会社ロケットボーイズ関連: 4

  • SoundCloudインシデント詳細: 1

  • ShinyHunters/PornHub関連: 3

  • VPN/DDoS技術詳細: 3



引用文献


  1. SoundCloud Data Breach: How 28 Million Accounts Were Exposed - Technijian, 12月 21, 2025にアクセス、 https://technijian.com/cyber-security/data-breach/soundcloud-data-breach-what-happened-and-how-to-protect-your-account/

  2. SoundCloud Confirms Security Incident - Centraleyes, 12月 21, 2025にアクセス、 https://www.centraleyes.com/soundcloud-confirms-security-incident/

  3. SoundCloud confirms breach after member data stolen, VPN access disrupted, 12月 21, 2025にアクセス、 https://www.bleepingcomputer.com/news/security/soundcloud-confirms-breach-after-member-data-stolen-vpn-access-disrupted/

  4. SoundCloud(サウンドクラウド)へサイバー攻撃-個人情報漏洩の ..., 12月 21, 2025にアクセス、 https://rocket-boys.co.jp/security-measures-lab/soundcloud-cyberattack-possible-personal-data-leak/

  5. Data Breach at SoundCloud Involves Unauthorized Access to Users Data - Intrucept, 12月 21, 2025にアクセス、 https://intruceptlabs.com/2025/12/data-breach-at-soundcloud-involves-unauthorized-access-to-users-data/

  6. SoundCloud Confirms Data Breach After Hackers Exfiltrate User Account Data - Cyber Press, 12月 21, 2025にアクセス、 https://cyberpress.org/soundcloud-confirms-data-breach/

  7. SoundCloud breached, hit by DoS attacks - Help Net Security, 12月 21, 2025にアクセス、 https://www.helpnetsecurity.com/2025/12/16/soundcloud-breach-dos-vpn/

  8. SoundCloud bounces some VPNs as it cleans up cyberattack - The Register, 12月 21, 2025にアクセス、 https://www.theregister.com/2025/12/16/soundcloud_cyberattack_data_leak/

  9. SoundCloud Breach Exposes Millions of User Emails Amid Follow-Up Attacks, 12月 21, 2025にアクセス、 https://www.itcpeacademy.org/blog/news-121625

  10. SoundCloud suffers data breach, user information accessed | SC Media, 12月 21, 2025にアクセス、 https://www.scworld.com/brief/soundcloud-suffers-data-breach-user-information-accessed

  11. 合同会社ロケットボーイズのプレスリリース|PR TIMES, 12月 21, 2025にアクセス、 https://prtimes.jp/main/html/searchrlp/company_id/132012

  12. セキュリティ対策Lab、新たなサイバー攻撃手法ClickFix(クリックフィックス)に関する注意喚起記事を公開 - PR TIMES, 12月 21, 2025にアクセス、 https://prtimes.jp/main/html/rd/p/000000002.000132012.html

  13. SoundCloud Breach Potentially Affects Millions of Accounts | eSecurity Planet, 12月 21, 2025にアクセス、 https://www.esecurityplanet.com/threats/soundcloud-breach-potentially-affects-millions-of-accounts/

  14. SoundCloud, Pornhub, and 700Credit all reported data breaches, but the similarities end there | Malwarebytes, 12月 21, 2025にアクセス、 https://www.malwarebytes.com/blog/news/2025/12/soundcloud-pornhub-and-700credit-all-reported-data-breaches-but-the-similarities-end-there

  15. 【対談】展示会成功のファクターは何か、アフターコロナで求められるものとは?, 12月 21, 2025にアクセス、 https://www.iconnect-ptr.co.jp/result/case16

  16. User Data Compromised in SoundCloud Hack - SecurityWeek, 12月 21, 2025にアクセス、 https://www.securityweek.com/user-data-compromised-in-soundcloud-hack/


All Tags

bottom of page