2026年1月27日、データ漏えい通知サービスHave I Been Pwned(HIBP)に、SoundCloudの漏えいデータが新規追加されました。HIBPの説明では、2025年12月に発生した不正アクセスにより、公開プロフィール情報とメールアドレスをひも付けられる形でデータが取得され、翌月に公開されたとしています。影響件数は29.8百万件(約2,980万アカウント)とされています。
HIBPが列挙している影響データは、メールアドレスに加え、ユーザー名、表示名、アバター、フォロー・フォロワー数などのプロフィール統計、場合によっては国情報です。重要な点は、パスワードや決済情報のような認証・金融データではなく、主に連絡先情報と公開プロフィール由来の情報の組み合わせであることです。とはいえ、メールアドレスと利用サービスの突合が可能になるため、フィッシングやスパム、なりすましの精度が上がるリスクは残ります。
サウンドクラウドのインシデント概要
SoundCloudは2025年12月15日、補助的なサービス用ダッシュボードにおける不正な行動を検知し、インシデント対応手順を起動して封じ込めを行ったと公表しました。
影響したデータは、メールアドレスと公開プロフィール上に表示される情報に限定され、パスワードや金融情報などの機微情報へのアクセスは確認していない、としています。影響範囲は全ユーザーの約20%と説明されています。
2026年1月13日の更新では、第三者調査の現時点の結論として、機微情報が取得された証拠はないことを改めて強調しつつ、攻撃者側が要求を突き付け、メールフラッディング(大量送信)で利用者・従業員・パートナーを嫌がらせする動きがあったとしています。漏えいデータが限定的でも、恐喝や業務妨害に移行するのは最近の典型で、広報・CS・SOCが同じ前提で動ける体制がないと、問い合わせ対応が先に崩れます。
利用者側の実務対応
利用者側の実務対応としては、パスワード・決済情報が漏れていない前提でも、次の優先順位が現実的です。
第一に、SoundCloudを含む主要アカウントのパスワード使い回しを止め、メールアカウントを最優先で守る(MFA有効化、復旧用メール・電話番号の見直し)こと。
第二に、SoundCloudを名乗るメールやメッセージで、アカウント確認、支払い確認、24時間以内に対応など期限を切る文面が来た場合は、リンクを踏まず公式アプリ・公式サイトから確認すること。
第三に、漏えいによりメールアドレスが狙われやすくなる点を踏まえ、迷惑メールフィルタや受信ルールを強化し、フィッシング訓練の題材として社内にも注意喚起を回すことです。
ハッカーに関する情報
SoundCloudは公式発表内で攻撃者グループ名を明示していません。一方、ハッカーグループShinyHuntersが関与した可能性が指摘されています
ShinyHuntersは、企業からデータを窃取し、身代金要求と公開を組み合わせる恐喝モデルで名前が挙がることが多いグループで、今回も
メールアドレスと公開プロフィール情報の組み合わせという限定的なデータでも、公開によるレピュテーション毀損、ユーザーへの二次攻撃(フィッシング)増加、サポート窓口の逼迫といった二次被害を材料に揺さぶりをかける構図が見えます。








