Crunchyroll、顧客680万人分の情報流出 サプライチェーン攻撃
2026年 3月 26日
顧客サービス関連データの流出
Crunchyrollに対する不正アクセスにより、顧客サービス関連データが流出したとみられている。対象は主にサポート対応に関する情報とされ、現在も影響範囲の特定が進められている。
3月25日時点では、流出データの真偽を巡る議論が続いており、サイバーセキュリティ専門家による調査が進行中とされる。
サプライチェーン攻撃による情報流出
本件の背景には、Crunchyrollの業務委託先であるTelusの従業員アカウントが侵害された事案がある。攻撃者は当該アカウントを不正に取得し、カスタマーサポートチケットへアクセスする権限を悪用したとみられる。
さらに、当該従業員の端末をマルウェアに感染させることで、約100GBに及ぶデータを窃取したとされる。流出情報には、IPアドレスやメールアドレスのほか、一部のクレジットカード関連情報が含まれていた可能性がある。
被害規模と金銭要求
本件の不正アクセスは3月12日に発生したとされ、攻撃者は24時間以内にアクセスが遮断されたと主張している。しかし、その時点で既に約800万件のカスタマーサポートチケットを通じて、680万人以上の情報が流出した可能性がある。
攻撃者は流出データの公開を阻止する見返りとして500万ドルを要求したが、Crunchyroll側はこれに応じなかったとみられる。
サプライチェーンリスクと対策の重要性
本件は、外部委託先を含めたセキュリティ管理の重要性を改めて示す事例となった。近年、企業は顧客サポートや業務プロセスを第三者に委託するケースが増えており、こうした委託先を起点とした侵害リスクが顕在化している。
今後は、委託先を含むセキュリティレビューの徹底に加え、継続的なリスク評価と対策の強化が求められる。
