ポルノ動画サイト「PornHub」のプレミアム会員の一部について、検索・視聴履歴などのデータが流出し、サイバー犯罪グループ「ShinyHunters」による恐喝の対象になっていることが分かりました。
直接侵害を受けたのはPornHub本体ではなく、データ解析を委託していた外部サービス「Mixpanel」のシステムです。
目次
利用ソフトウェア企業から漏洩
2025年11月8日、解析ソフトベンダーの Mixpanel はSMSフィッシング(いわゆる「スミッシング」)攻撃を受け、社内システムが侵害されました。
同社はインシデント対応を行い、「影響を受けたのは一部の顧客に限られる」と説明しています。
その「一部の顧客」にPornHubが含まれていたことが、PornHub側のセキュリティ通知で明らかになりました。
漏洩情報と対象ユーザー
-
影響対象:PornHub Premiumユーザーの一部
-
盗まれたのは Mixpanel側に残っていた解析データ
-
PornHub本体のシステム侵害ではない
-
パスワード・クレジットカード番号などは含まれていないと説明
PornHubによると、同社は 2021年以降、Mixpanelを利用しておらず、今回流出したのは2021年以前の「過去の履歴データ」とみられています。
関連:PornHub(ポルノハブ)のサイバー攻撃による会員情報漏洩でハッカーが本格的な恐喝を開始
ShinyHuntersが主張する「94GB・2億件超」の閲覧データ
BleepingComputerの取材によれば、ShinyHuntersはMixpanelから盗んだデータをもとにPornHubへ身代金を要求し、
「94GB分、2億1211万943件の履歴レコードを保有している」
と主張しています。
攻撃者側が示したサンプルからは、以下のような情報が含まれていることが確認されています。
-
プレミアム会員の メールアドレス
-
アクティビティの種類(動画を視聴/ダウンロード/チャンネル閲覧など)
-
アクセス元の大まかな 位置情報
-
視聴した動画のURL・タイトル
-
動画に紐づくキーワード(ジャンル名など)
-
イベント発生日時(いつ、どの動画を観たか)
つまり、「誰(メールアドレス) が」「いつ」「どんなタイトル・ジャンルの動画 を視聴・ダウンロードしたか」がかなり具体的な形で記録されているデータです。
ShinyHuntersは、Salesforce連携事業者やOracle E-Business Suiteのゼロデイ脆弱性悪用など、大規模な情報窃取・恐喝で知られるグループで、今回のMixpanel侵害もその一連の攻撃キャンペーンの一部とみられています。
Mixpanelの説明と対応
Mixpanelは自社ブログで、今回のインシデントについて次のように説明しています。
-
11月8日にスミッシング攻撃を検知し、インシデントレスポンスを発動
-
影響を受けたアカウントのセッション・ログインを全て無効化
-
侵害された可能性のある認証情報のローテーション(変更)
-
悪意あるIPアドレスのブロック、IOC(侵害指標)のSIEM登録
-
全従業員のパスワードリセット
-
外部フォレンジック企業の投入と、認証・セッション・エクスポートログの調査
-
法執行機関および外部サイバーセキュリティ専門家と連携
また、
「Mixpanelから個別に連絡を受け取っていない顧客については、このインシデントの影響を受けていない」
とも強調しており、影響範囲は「限定的」との立場です。
一方で、BleepingComputerの報道を踏まえると、「限定的」とはいえ、含まれているデータのセンシティブさは非常に高いと言えます。
過去、OpenAIもリリース発表
同じインシデントで2025年11月27日頃、ChatGPTなどの生成AI サービスを提供するOpenAIは、「Mixpanel」で発生したセキュリティインシデントにより、同社APIプラットフォーム利用者の一部情報が流出した可能性があると公表し、影響があると判断したユーザーにメールで通知を行っています。
OpenAI側の説明では、
-
侵害されたのは Mixpanel側のシステム
-
OpenAIのシステム自体には侵入されていない
-
ChatGPT本体のチャット内容やAPIリクエスト内容、APIキー、パスワード、支払い情報、政府発行IDなどは含まれていない
としています。一方で、API管理画面(platform.openai.com)のフロントエンドに埋め込まれていた解析タグを通じて送信されていたユーザー特定可能な情報が、Mixpanel上でエクスポートされてしまった形です。
なぜアダルトサイトからの情報漏洩が危険なのか
今回のように アダルトサイトの検索・視聴履歴が外部に流出した場合、金銭的被害だけでなく、以下のような二次被害が現実的に懸念されます。
恐喝・ばらまき脅迫
攻撃者が個人のメールアドレスと視聴内容を結びつけて、
-
「あなたが○○という動画を閲覧していた記録を持っている」
-
「家族や職場に知らせてほしくなければ仮想通貨を送れ」
といった形で 個別にゆすりをかける 可能性があります。
内容が「性」に関わるだけに、被害者は誰にも相談しづらく、要求に応じやすい、という心理的な弱みを狙った手口です。
身元特定・晒し行為
メールアドレスが実名アカウントや職場アドレスと紐づいている場合、
-
SNSや他サービスの漏洩データと突き合わせる
-
OSINT(公開情報調査)で名前・勤務先・居住エリアなどを特定する
-
「○○社の××さんがPornHubでこういう動画を見ていた」などと掲示板やSNSに晒す
といった プライバシー侵害・名誉毀損 のリスクがあります。
職場や家庭、社会的地位によっては、これだけで深刻なダメージを受けかねません。
標的型攻撃の材料になる
攻撃者が「視聴履歴」という“弱み”を握っている状態は、巧妙なフィッシングメール の材料にもなります。
-
「PornHubアカウントが不正利用されています」「視聴履歴を消去するにはこちら」などと偽装し、
ログイン情報やクレジットカード情報を盗む -
あるいは「動画視聴に関する問い合わせ」と装って、マルウェア付きファイルを送る
といった攻撃が考えられます。
「自分しか知らないと思っていた履歴」を具体的に書かれると、本物だと錯覚しやすくなる点が危険です。
家庭・人間関係への悪影響
もし家族・パートナーに知られたくない閲覧内容が含まれていた場合、
-
パートナーからの信頼喪失
-
家庭内トラブル、離婚・別居等の火種
-
LGBTQ当事者や性的嗜好を隠している人の場合、意図せぬアウティング のリスク
など、純粋なサイバー被害を超えて、人生レベルのダメージ を受ける可能性もあります。
PornHub Premium利用者が意識すべきポイント
今回の報道内容から考えると、特に以下に当てはまる人は、状況を注視した方がよいでしょう。
-
2021年以前にPornHub Premiumを利用していた
-
Premium登録時に、普段使いのメールアドレス(仕事用・実名アドレス等)を使っていた
-
同じメールアドレスを他の多数のサービスにも使い回している
現時点でPornHubもMixpanelも、「パスワードや決済情報は流出していない」と説明していますが、メールアドレス+閲覧履歴だけでも十分に攻撃材料になります。
少なくとも、
-
「PornHub」「動画視聴」などをネタにした不審なメール・DMには一切反応しない
-
メール内のリンクからログインせず、必ず公式サイトや公式アプリからアクセスする
-
同じメールアドレスを使っている他サービスでは、パスワードを長く強力なものに変更し、可能なら2要素認証を有効化する
といった基本的な対策は取っておいた方が安心です。
一部参照
PornHub extorted after hackers steal Premium member activity data
関連記事
PornHub(ポルノハブ)、サイバー攻撃で個人情報漏洩 さらにハッカーが本格的な恐喝を開始
Pornhub(ポルノハブ)の個人情報漏洩、性的脅迫メールの標的になる可能性
OSINT(オシント)とは 意味や具体的な活用要領と注意点などを専門家が解説
OpenAI、サードパーティーツールのインシデントで個人情報漏洩の可能性
インターネットアーカイブで不正アクセス 約3100万人の個人情報が漏洩した可能性
Googleへ不正アクセス、Gmail アカウント 情報の最大25億人分が漏洩の可能性-パスワード変更を推奨
富士フイルムメディカル、営業管理システムへの不正アクセスで約59万人分の個人情報漏洩の恐れ-ハッカーグループのサイバー攻撃が関係か
Salesforce(セールスフォース)、ハッカー グループによるサイバー攻撃の身代金要求を拒否
北朝鮮系 ハッカーが新型マルウェア「EtherRAT」とReactの脆弱性 React2Shellをサイバー攻撃に悪用
