世界を動かす技術を、日本語で。

SoundCloudのデータ漏洩がHaveIBeenPwnedに掲載されました

概要

  • 2025年12月、 SoundCloud で不正アクセスが発覚
  • 20%のユーザー が影響を受けた事案
  • 3,000万件 のメールアドレスやプロフィール情報が漏洩
  • 攻撃者は 恐喝 を試み、翌月にデータを公開
  • ユーザー情報の安全性に対する懸念が浮上

SoundCloudの不正アクセス事件(2025年12月)

  • 2025年12月、 SoundCloud は自社プラットフォームでの 不正な活動 を発見
  • 攻撃者が 公開プロフィール情報メールアドレス を紐付けて取得
  • 全ユーザーの約 20% が被害対象
  • 漏洩した情報
    • 3,000万件 のユニークなメールアドレス
    • 氏名、ユーザー名、アバター画像
    • フォロワー数・フォロー数
    • 一部の場合、ユーザーの 国情報
  • 攻撃者は SoundCloud に対して 恐喝 を実施
  • 恐喝未遂後、翌月に データを公開
  • プラットフォーム利用者の 個人情報保護 に対する課題が顕在化

影響と今後の課題

  • ユーザーの 個人情報流出 リスク拡大
  • フィッシング詐欺 やなりすまし被害の懸念
  • 音楽業界における セキュリティ強化 の必要性
  • サービス提供者による 迅速な対応ユーザー通知 の重要性

Hackerたちの意見

影響を受けたデータには、3000万件のユニークなメールアドレス、名前、ユーザー名、アバター、フォロワー数やフォロー数、場合によってはユーザーの国が含まれていた。

俺の理解が正しければ、メールアドレスを除けば、漏れたデータはすでにユーザーのSoundCloudプロフィールで公開されていたものだね。新しい点は、その公開データをアカウントのメールアドレスに結びつけたことだけだ。

重要なのは、全ユーザーの20%に影響があったみたいだね。> 2025年12月、SoundCloudはプラットフォーム上で無許可の活動を発見したと発表した。この事件により、攻撃者は約20%のユーザーの公開されているSoundCloudプロフィールデータをメールアドレスにマッピングすることができた。影響を受けたデータには、3000万件のユニークなメールアドレス、名前、ユーザー名、アバター、フォロワー数やフォロー数、場合によってはユーザーの国が含まれていた。これは、もちろん俺がその20%の一員だから受け取ったhaveibeenpwnedのメールからの情報だよ。子供たち、各ウェブサイトにユニークなパスワードを使うことを忘れないでね。理想的にはパスワードマネージャーを使ってね。

SoundCloudは最悪の会社だよ。元の有料ユーザーに対してすごく敵対的なんだから!俺は趣味で曲を書いてて、10年以上も自分のラフミックス(AppleのMusic Memoアプリで、2クリックでドラムとベースを自動追加して、Garage Bandでミックスするやつ)をSoundCloudに投稿してきた。アーティストプロアカウントに登録して、月17ドルで数年間ずっとメンバーだったのに。一度キャンセルすると、全ての音楽を人質に取られて、隠されたり、最終的には削除すると脅されるんだ。ひどいよ!

yt-dlpを使えば、プロフィール全体をエクスポートできるよ。もちろん、まだ有料顧客の時にやらなきゃダメだけど。

SoundCloudはリデザイン前は良かったんだけどね。最近、真剣に使うために再評価しようと思って投稿を再開したら、新しいアップローダーが有料プランに切り替えないとダメだって言ってきた。無料の範囲内にいるのを三回も確認したのに、昔の使ってないユーザー名でアップロードしたものはもっと多かったのに(ほとんどは今はあまり誇れない実験的なものだけど)。どうやらマイクロサービスのアーキテクチャが混乱していて、ドキュメントに書かれている制限を超える厳しい制限がかかっているみたい。支払った後に新しい制限を守ってくれるかどうか、次のプランを売りつけられるんじゃないかと不安だよ。それに、一般的な不具合や「もっと偽のリスナーを$$$で増やそう」ってアカウントからの終わらないスパム(プラットフォームと明らかに共生しているみたいで、見かけ上の数字を増やしている)や、昨年のあいまいな利用規約の変更で自分の作品を使ってMLシステムを訓練できるようになったこともあって、もう無理だと思った。幸い、試用期間だったから、保留中のリリースは公開しなかったよ。もしまだSoundCloudで投稿してるなら、オリジナルの音楽をやってる(例えばDJセットのようにIPの扱いが問題になるものではなく)なら、そろそろちゃんとした出版を考える時かもしれないね!

代替案はある?

それって、サービスにお金を払ってない顧客がサービスを受けられないってことじゃん。

元々有料ユーザーだったからって、今は顧客じゃないよね。お金払わないなら、なんでサービスを受ける権利があるの?毎週このピザ屋でピザ買ってるけど、無料のはもらえないし。SoundCloudはヨーロッパの会社だから、アメリカの企業が使う「無料」サービスのためのダークパターンは使えないし、実際にデータを削除することが法律で求められてるんだよね。

アーティストとプロの違いは、3時間と無制限のアップロード音楽だよ。だから、3時間以上アップロードしてたら、サービスを制限するのは妥当だと思う。3時間以下なら、それは問題だね。

元のデータは一切残さず、マスターをアップロードしては削除してたってこと?

「関係するデータは、メールアドレスと既に公開されているSoundCloudのプロフィール情報だけだった。」ってことは、公開データをスクレイピングしたってことだよね。なんで気にするの?

Hacker Newsで議論の続きを見る