アニメストリーミングサービスCrunchyrollは、サードパーティベンダー経由でカスタマーサービスチケットに関するデータが窃取されたことを確認しました。攻撃者は約800万件のサポートチケットレコード(うち約680万件のユニークメールアドレス)を含む約100GBのデータを取得したと主張しており、500万ドルの身代金を要求しています。これらの数値は攻撃者側の主張であり、独立した検証を受けていません。Crunchyrollは現在も調査を継続中です。
何が起きたのか
Crunchyrollの声明によれば、窃取された情報は主にカスタマーサービスチケットのデータです。同社はTechCrunchに対し「調査は継続中であり、主要なサイバーセキュリティ専門家と協力して対応している」と述べ、現時点で不正アクセスが継続している証拠は確認されていないとしています。
攻撃者は3月19日にBleepingComputerおよびInternational Cyber Digestに接触し、3月12日にCrunchyrollのベンダーに勤務するインドの従業員のアカウントを侵害したと主張しました。BleepingComputerへの申告では、約800万件のサポートチケットレコードをダウンロードし、そのうち約680万件がユニークなメールアドレスだったとしています。ただし、これらの数値は独立した検証を受けていません。
侵入経路
TechCrunchが確認したスクリーンショットや資料によれば、攻撃者はCrunchyrollのカスタマーサポートを請け負うアウトソーシング企業Telus Digitalの従業員を侵害し、CrunchyrollのZendeskサポートシステムへのアクセスを取得した可能性があります。Crunchyrollの内部Slackメッセージやサポートデータとみられる情報が確認されています。
攻撃者の主張では、Okta SSOアカウントの侵害を通じてアクセスを取得したとされています。サポートチケットデータの窃取は2025年までの一部データが対象で、その時点でアクセスが遮断されたとのことです。
なお、Telus Digital自体も先週、別の侵害インシデント(脅威アクターが数カ月にわたり約1PBのデータを窃取したと主張するもの)を確認しています。International Cyber Digestは、今回のCrunchyroll侵害はTelus Digitalの侵害とは別のインシデントだと報じています。CrunchyrollはTelus Digitalとの関連についてのフォローアップ質問に回答しておらず、Telus Digitalもコメント要請に応じていません。
Crunchyrollの規模
Crunchyrollは2020年12月にSonyがAT&Tからの買収を発表し、2021年8月に取引が完了したサービスで、現在はSony Pictures EntertainmentとAniplexの合弁事業として運営されています。12言語以上で2,000以上のタイトルを提供しており、2024年8月時点で有料会員1,500万人突破を公表しています。日本のアニメファンにとってはグローバル最大の配信プラットフォームです。
利用者がとるべき対応
Crunchyrollはまだ影響を受けるユーザーへの個別通知や詳細な影響範囲を公表していません。ただし、サポートチケットに紐づくメールアドレスが流出した可能性があるため、以下の対応が推奨されます。
Crunchyrollのパスワードを変更し、同じパスワードを他のサービスでも使い回している場合はそちらも変更してください。Crunchyrollに支払い情報を保存している場合は、明細に不審な取引がないか確認してください。また、Crunchyrollを装ったフィッシングメールに注意してください。侵害で流出したメールアドレスが標的型フィッシングに利用されるケースは一般的です。
一次ソース:
TechCrunch「Crunchyroll confirms data breach after hacker claims unauthorized access」(2026年3月24日) ── techcrunch.com
Recorded Future News「Anime streaming giant Crunchyroll says hacker stole data related to customer service tickets」(2026年3月24日) ── therecord.media
コメント