1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. ハッカー集団・脅威アクターに関する動向
  5. ランサムウェアグループに関する動向
  6. ハッカー グループがUdemyへのサイバー攻撃を主張、Salesforceへ不正アクセスか

ハッカー グループがUdemyへのサイバー攻撃を主張、Salesforceへ不正アクセスか

セキュリティニュース

投稿日時: 更新日時:

ハッカーグループがUdemyへのサイバー攻撃を主張、Salesforceへ不正アクセスか

2026年4月24日、恐喝グループShinyHuntersがオンライン学習プラットフォーム大手Udemy, Inc.(udemy.com)のダークウェブリークサイトへの掲載を開始しました。Salesforceから140万件超の個人情報(PII)および内部企業データを窃取したと主張し、「Pay or Leak(支払うか、リークするか)」の脅迫を行いました。

Udemyは4月27日の交渉期限に応じなかったとして、ShinyHuntersは同日約2.3GB・1,401,259件のデータを公開しました。データ侵害調査サービス「Have I Been Pwned(HIBP)」は4月26日に同データを登録・確認しており、140万件のユニークメールアドレスのほか、氏名・住所・電話番号・雇用主情報・講師の支払い方法(PayPal・小切手・銀行振込)が含まれることを確認しています。2026年5月12日時点でUdemyは公式に本件を確認も否定もしていません。

この記事のサマリー

  • 2026年4月24日:ShinyHuntersがUdemyのリークサイト掲載を開始。「4月27日までに連絡がなければリークする」と脅迫。
  • 2026年4月26日:Have I Been Pwned(HIBP)がデータセットを登録し内容を確認。
  • 2026年4月27日:Udemyが期限に応じなかったとしてShinyHuntersがデータを公開。データ量は約2.3GB・1,401,259件
  • 流出した可能性があるデータ:メールアドレス・氏名・住所・電話番号・雇用主情報・講師の支払い方法(PayPal・銀行振込・小切手)
  • 侵害経路(推定):SalesforceのExperience Cloud(Aura)の設定ミスを悪用するShinyHuntersの継続的なSalesforce攻撃キャンペーン(UNC6040)の一環とみられます。
  • Udemyの公式対応:2026年5月12日時点で公式声明なし。
  • HIBPの確認:同データセットの56%のメールアドレスは過去の別漏洩でも確認済み。

関連:イレブンラボ、Udemy Businessの情報漏洩で不審メール発生

事案の詳細タイムライン

日付 内容
2026年4月24日 ShinyHuntersがリークサイトに「Pay or Leak」警告を掲載。期限を4月27日と設定
2026年4月26日 HIBPがUdemyデータセットを登録・確認。1,401,259件のメールアドレスを収録
2026年4月27日 交渉期限到来。Udemyが応じなかったとして約2.3GBのデータをリリース
2026年4月28日 海外メディアが一斉に報道
2026年5月12日 Udemyから公式声明なし(5月12日時点で声明無し)

リークサイトの掲載文

以下はダークウェブに掲載されている実際の犯行声明です

掲載文には以下の内容が記載されています。

「Over 1.4M Salesforce records containing PII and other internal corporate data was compromised.(140万件超のSalesforceレコードが侵害された。個人情報および内部企業データを含む)」「The company failed to reach an agreement with us despite our incredible patience, all the chances and offers we made. They don’t care.(同社は、我々が忍耐を持って提示した複数のチャンスとオファーにもかかわらず、合意に至ることができなかった。彼らは気にしていない)」と記されています。

 

流出した可能性のあるデータの内容

HIBPが確認した流出データの内容は以下の通りです。

情報の種類 詳細
メールアドレス 1,401,259件(ユニーク)。うち56%は過去の別漏洩でも確認済み
氏名 顧客・インストラクター双方
住所(物理的住所) 含む
電話番号 含む
雇用主情報 含む
インストラクターの支払い方法 PayPal・銀行振込・小切手

特に注目されるのはインストラクター(講師)の支払い方法情報です。PayPalアカウント・銀行口座情報・小切手情報は金融詐欺の直接的なターゲットとなり得るため、Udemyでコース販売を行う講師は特段の注意が必要です。

また、雇用主情報を含む法人メールアドレスが多数含まれているとみられ、Adaptive Securityの分析では「Udemyは多くの企業が従業員研修に使用しており、法人メールアドレス・役職・コース受講履歴・支払い詳細を組み合わせた高精度な標的型攻撃が可能なデータセット」と指摘しています。

侵害経路—SalesforceのExperience Cloud設定ミスを悪用

ShinyHuntersはUdemyのデータを「Salesforceレコード」と明示しており、同グループが2026年に展開しているSalesforce大規模攻撃キャンペーンとの関連が強く示唆されます。

Googleの脅威インテリジェンスグループ(Mandiant)は本キャンペーンをUNC6040として追跡しています。攻撃の手口としてSalesforce Experience Cloud(旧称:Aura)の設定ミスの悪用が中核となっており、ShinyHuntersが独自開発したツール「RapeForce」(前回のSnowflake攻撃では「RapeFlake」)を使用し、設定不備のある組織を自動スキャンして搾取します。

Salesforce自身は2026年3月7日にセキュリティアドバイザリーを発行し、Experience Cloudの設定ミスを悪用する「既知の脅威グループ」の活動について警告しています。ShinyHuntersはSalesforceを通じた侵害として約400社のターゲットを主張しており、2026年4月時点で42社のデータを実際に公開しています。

ShinyHuntersとは—世界最大級のデータ恐喝グループ

ShinyHuntersは2019年に活動を開始した金銭目的の脅威アクターで、2026年現在、世界最大規模の「データ窃取型恐喝(Pay or Leak)」グループとして知られています。

同グループの最大の特徴は暗号化型ランサムウェアを完全に放棄し、純粋なデータ窃取・恐喝モデルに移行した点です。暗号化には高度な技術インフラが必要ですが、窃取・恐喝モデルでは比較的少ない技術投資で同等以上の収益を上げられるという判断に基づいています。

2026年の主要な被害組織として、Telus Digital(1PB超・6,500万ドル要求)・欧州委員会(350GB)・ADT(550万人)・Zara・7-Eleven・Instructure/Canvas(3.65TB・2億7,500万ユーザー影響・275機関)・Amtrak・Rockstar Games・Hallmark・Ameriprise Financialなど多数の企業・機関が含まれています。

関連:Zara、サイバー攻撃で約19.7万件の個人情報漏洩の恐れ

Udemyのサービス規模——なぜ被害が広がるのか

Udemyは世界最大規模のオンライン学習プラットフォームの一つで、2024年時点で約7,700万人以上の学習者を抱えています。同社は法人向けの「Udemy Business」も提供しており、多くの企業が従業員研修プラットフォームとして利用しています。

このため漏洩データには法人のメールアドレス・役職・受講履歴が含まれる可能性が高く、単純な個人情報漏洩を超えた企業セキュリティ上のリスクとなります。また、SC Mediaによれば、Udemyは競合のCourseraとの合併も進行中であり、このタイミングでの侵害は事業統合にも影響を及ぼす可能性があります。

Udemyのアカウントを持つユーザーが今すぐ取るべき対応

Have I Been Pwned(HIBP)での確認として、haveibeenpwned.comで自分のメールアドレスを検索し、Udemyのデータ漏洩に含まれているか確認してください。

パスワード変更として、Udemyで使用していたパスワードを変更してください。同じパスワードを他のサービスでも使用している場合は、それらも変更が必要です。

多要素認証(MFA)の有効化として、UdemyアカウントにMFAを設定してください。

インストラクター(講師)の場合の追加対応として、支払い情報(PayPal・銀行口座)が含まれる可能性があります。PayPalアカウントのセキュリティ確認、不審な取引の確認、および銀行口座の入出金履歴確認を行ってください。

法人メールアドレスで登録している場合として、スピアフィッシング・BEC(ビジネスメール詐欺)のターゲットになるリスクが高まります。不審なメールへの注意を強化してください。

フィッシングメールへの警戒として、「Udemyからの重要なセキュリティ通知」を装ったフィッシングメールが送られてくる可能性があります。公式サイトへは必ずブックマークからアクセスしてください。

参考情報

関連記事

エプスタインに関わる情報漏洩と関連する日本人のまとめ-エプスタイン文書では伊藤 穰一氏、林 千晶氏、田中 美歌氏のアテンド記録もエプスタインの情報漏洩と関連する日本人のまとめ-エプスタイン文書では松本 大氏や伊藤 穰一氏、林 千晶氏のアテンド記録も Microsoftが偵察から仮想通貨 盗難まで行うトロイの木馬「StilachiRAT」を発見Microsoftが偵察から仮想通貨 盗難まで行うトロイの木馬「StilachiRAT」を発見 オンラインコード/JSON 整形ツールに貼り付けた機密情報が世界に晒されている-秘密鍵や個人情報などが大量に漏洩オンラインコード/JSON 整形ツールに貼り付けた機密情報が世界に晒されている-秘密鍵や個人情報など大量に漏洩 Googleが警告、ShinyHuntersがボイスフィッシング(ビッシング)を起点としてSaaSへ不正アクセスGoogleが警告、ShinyHuntersがボイスフィッシング(ビッシング)を起点としてSaaSへ不正アクセス SonicWall(ソニックウォール)、不正アクセスで全クラウドバックアップ 顧客のファイアウォール 設定が盗まれるSonicWall(ソニックウォール)、不正アクセスで全クラウドバックアップ 顧客のファイアウォール 設定が盗まれる 中国系ハッカー グループがReact Server Componentsの脆弱性 React2Shell(CVE-2025-55182)を即日悪用-AWSが警告中国系ハッカー グループがReact Server Componentsの脆弱性 React2Shell(CVE-2025-55182)を即日悪用-AWSが警告 LINEの公式アカウントで情報漏洩-繰り返される個人情報漏洩 インシデントLINEの公式アカウントで情報漏洩-繰り返される個人情報漏洩 インシデント Gmailのアカウント 情報、最大25億人分が漏洩の可能性-パスワード変更を推奨Googleへ不正アクセス、Gmail アカウント 情報の最大25億人分が漏洩の可能性-パスワード変更を推奨 Androidで重大な脆弱性と2件のゼロデイ- 12月セキュリティパッチで緊急修正(CVE-2025-48631,CVE-2025-48633,CVE-2025-48572)Androidで重大な脆弱性と2件のゼロデイ- 12月セキュリティパッチで緊急修正(CVE-2025-48631,CVE-2025-48633,CVE-2025-48572)