Plexが不正アクセスを公表、全ユーザーに“即時のパスワードリセットを要請

セキュリティニュース

投稿日時: 更新日時:

Plexが不正アクセスを公表、全ユーザーに“即時のパスワードリセットを要請

2025年9月映像配信プラットフォームのPlexは、第三者による不正アクセスで一部の顧客データベースから情報が取得されたと発表しました。

影響は限定的とみているものの、全ユーザーに対し直ちにパスワードを変更するよう求めています。

概要

Plexは、自社のデータベースの一部に第三者から不正アクセスがあり、メールアドレスやユーザー名、ハッシュ化されたパスワード、認証関連データの一部が参照された可能性があると明らかにしました。侵入は検知後に速やかに封じ込められており、同社サーバーにはクレジットカード情報を保管していないため、決済データは影響を受けていません。

パスワードは業界標準に基づいて安全にハッシュ化されており平文がそのまま読まれる状況ではない一方、具体的な方式は公表されていないため、他サービスでの“使い回し”があれば二次被害のリスクは残ります。

現在は侵入経路の遮断に加え、追加の点検や強化策を進めており、ユーザーには念のため全端末からのサインアウトとパスワード再設定を求めています。

なお、Plexでは2022年にも同様の事案が発生しており、今回も早期に対応を呼びかける姿勢を取っています。

いますぐ実施すべき対策

  1. Plexのパスワードを即時変更

    • リセットURL:https://plex.tv/reset

    • 変更時に**「Sign out connected devices after password change(パスワード変更後に接続機器をサインアウト)」にチェック**を入れてください。すべての端末(自分のPlex Media Server含む)で再ログインが必要になります。

  2. SSO利用者は全端末サインアウト

    • ページ:https://plex.tv/security「Sign out of all devices」 をクリック。

    • その後、通常どおりSSOで再ログインします。

  3. 二要素認証(2FA)を有効化

    • まだの場合はアカウント設定から2FAを有効化しましょう。フィッシングやパスワード解読に対する最後の防波堤になります。

  4. パスワードの“使い回し”を一掃

    • Plexと同じ(または類似の)パスワードを他サービスで使っていたら全て変更してください。

    • 推奨はパスワードマネージャ+サービス毎にユニークな長いパスワード

  5. Plexを装う連絡に注意

    • Plexがメールでパスワードやカード情報を要求することはありません。

    • メールのリンクはクリックせず、必ずブックマークした公式サイトや公式アプリから操作してください。