Crunchyrollをハッキングして680万人分の個人情報を盗んだとハッカーが主張、Crunchyrollは情報漏えいの調査を開始

日本アニメの海外配信プラットフォームとして知られているCrunchyrollから、680万人分の個人情報を盗んだとハッカーが主張しています。これを受け、Crunchyrollは情報漏えいについて調査を開始しました。

Crunchyroll probes breach after hacker claims to steal 6.8M users' data
https://www.bleepingcomputer.com/news/security/crunchyroll-probes-breach-after-hacker-claims-to-steal-68m-users-data/

2026年3月19日、脅威アクターがセキュリティ関連メディアのBleepingComputerに連絡を取り、「Crunchyrollのサポート担当者が利用しているOktaアカウントにアクセスした後、3月12日21時にCrunchyrollのシステムに不正アクセスした」と主張しました。

不正アクセスに利用されたのは、Telus Internationalというビジネスプロセスアウトソーシング(BPO)会社の従業員で、Crunchyrollのサポートチケット(サポート窓口に問い合わせ内容を送るための受付番号付きの相談フォーム)にアクセスできる人物だとされています。脅威アクターはこのサポート担当者の端末にマルウェアを感染させ、認証情報を盗み出したと説明したそうです。

脅威アクターがBleepingComputerに提供したスクリーンショットから、脅威アクターが盗んだ認証情報ではCrunchyrollが社内で利用しているZendesk、Wizer、MaestroQA、Mixpanel、Google Workspace Mail、Jiro Service Management、Slackといったアプリケーションにアクセス可能になっていたことが明らかになっています。

脅威アクターはこの認証情報を利用して、CrunchyrollのZendeskインスタンスから800万件のサポートチケットをダウンロードしたと述べています。これらの記録には、680万件のメールアドレスが含まれているそうです。

BleepingComputerは脅威アクターからサポートチケットのサンプルを提供されており、これにはユーザーの氏名、アカウント名、メールアドレス、IPアドレス、地理的位置情報、サポートチケットの内容などの多種多様な情報が含まれていた模様。

このサイバーセキュリティインシデントに関する報道では、ユーザーのクレジットカード情報が漏えいしたというものもありますが、BleepingComputerは「クレジットカード情報が漏えいしたのは顧客がサポートチケットでクレジットカード情報を共有した場合のみ」と指摘しています。

また、脅威アクターはクレジットカード情報が含まれる場合でも、ほとんどの場合は下4桁や有効期限などの基本的な情報しか含まれておらず、クレジットカード番号がすべて含まれているケースはごく少数だとBleepingComputerに説明したそうです。

BleepingComputerが確認した「脅威アクターが窃取したサポートチケット」は、すべてTelus Internationalに関連するものだったそうです。そのため、BleepingComputerは「脅威アクターがTelus Internationalの従業員を侵害したという主張を裏付けている」と報じました。

脅威アクターは、Crunchyrollに不正アクセスして24時間でアクセスは不可能となったものの、2025年半ばの分までデータを盗むことができたと説明しています。脅威アクターはCrunchyrollに恐喝メールを送信し、データを公表しない代わりに500万ドル(約7億9300万円)の身代金の支払いを要求している模様。しかし、記事作成時点ではCrunchyrollから返事の連絡は得られていないそうです。

なお、ShinyHuntersという脅威アクターもTelus Digitalに対して大規模な情報漏えい攻撃を行なっていますが、BleepingComputerの調査によるとこの件とは無関係だそうです。

CrunchyrollはBleepingComputerに対して、「我々は最近の主張(ハッカーのCrunchyrollから個人情報を窃取したという主張)を認識しており、現在、この件を調査するために主要なサイバーセキュリティ専門家と緊密に協力しています」と語りました。

さらにその後、Crunchyrollは「調査は現在も継続中で、一流のサイバーセキュリティ専門家と引き続き協力しています。現時点では、流出した情報は主に第三者ベンダーとのインシデントに関連したカスタマーサービスチケットのデータに限られていると考えています」「これらの申し立てに関連して、システムへの継続的なアクセスがあったという証拠は確認されていません。引き続き状況を注意深く監視していきます」という声明を発表しています。

BPO企業は複数の企業の顧客サポートや請求業務、内部認証システムなどを担っているケースが多いため、近年サイバー犯罪者にとって非常に価値の高い攻撃目標となっているそうです。