2025年12月、米国のデータ解析サービス「Mixpanel(ユーザー行動を追跡・分析するツールを提供する企業)」で発生した不正アクセス事件が、複数の外部サービスに影響を及ぼしていることが明らかになった。
この事件は、SMSを悪用したフィッシング攻撃(テキストメッセージで個人情報を騙し取る手法)により、Mixpanelの従業員が騙されシステムに侵入されたのが発端で、顧客の分析データが抽出された可能性が指摘されている。
Mixpanelは11月27日、公式ブログで事件の発生を公表。
同社は攻撃を検知後、侵入者のアクセスを即時遮断し、影響を受けた顧客に通知を送付する対応をとっており、その後セキュリティ強化策を講じたと表明している。
Mixpanelの最高経営責任者(CEO)は、「流出したデータにパスワードや支払い情報は含まれていない」と強調するも、顧客のメールアドレスやデバイス情報などの個人データが流出した疑いは残っている状況にある。
事件による影響の余波は、Mixpanelの顧客である外部サービスに及んでいる。
Pornhub(ポルノハブ)でユーザー情報流出、ハッカー集団からの身代金要求
成人向け動画共有サイト「Pornhub」は12月12日の声明で、プレミアムユーザー(有料会員)のデータがMixpanel経由で侵害されたと発表。
ハッカー集団「ShinyHunters(シャイニーハンターズ)」が、Pornhub(ポルノハブ、成人向け動画共有サイト)のプレミアムユーザー(有料会員)データを盗んだと主張。
同グループはPornhubに対し、ビットコインでの身代金支払いを要求する脅迫メールを送付し、支払いがなければデータを公開すると脅迫した。
また、複数メディアに対しデータのサンプルを提供し、内容の信ぴょう性を示しており、流出内容にはメールアドレス、視聴履歴、検索内容といったものが含まれていたという。
ShinyHuntersは複数のMixpanel顧客に対し同様の脅迫を行ったと報じられているが、Pornhubへの脅迫が主に確認されている事例である。
一方、Mixpanelは、このデータが同社の2025年11月のセキュリティインシデントによるものではないと否定しており、Pornhubのデータは2023年に正当なアカウントで最後にアクセスされた古いものだと説明している。
Pornhubも自社システムの直接侵害ではないと強調している。
波及する不正アクセスの影響
また、人工知能開発企業「OpenAI(オープンエーアイ)」のAPI(アプリケーション・プログラミング・インターフェース、ソフトウェア同士を連携させる仕組み)ユーザーについても、名前、メールアドレス、デバイス情報が露出したという。
OpenAIの人気サービス「ChatGPT(チャットジーピーティー、会話型AIツール)」の会話内容やAPIキー(認証用の暗号鍵)は影響を受けていないものの、セキュリティ専門家からは企業間のデータ共有経路の脆弱性が問題視されている状況だという。
その他の影響サービスとして、暗号通貨取引追跡ツール「CoinTracker(コイントラッカー)」のユーザー情報や、オンラインギャンブルプラットフォーム「Stake(ステーク)」のユーザー名、生年月日などが挙げられている。
Mixpanelの顧客数は約8000社に上るため、さらなる波及の可能性が懸念されている。
ニュースサイトの報道では、TechCrunchが12月2日にMixpanelの対応の詳細を求め、Reutersが12月16日にShinyHuntersの身代金要求を伝えた。
セキュリティ専門サイトのOX SecurityとApptegaは、第三者ベンダー(外部委託先)を経由した侵害が全体の63パーセントを占めるというIBMの2025年データ侵害コスト報告書を引用し、業界全体のリスクを指摘している。
また、SNSのX(旧Twitter)上では、12月17日にNEXTAのアカウントがPornhub事件を報じ、Mixpanel経由の侵害を強調した投稿が拡散された。
https://x.com/nexta_tv/status/2001244335006740779
セキュリティ専門家のMatt Johansen氏は同日、Pornhubデータの古さとMixpanelの調査結果の矛盾を指摘。
https://x.com/mattjay/status/2001087163010547893
Tulsi Securityは12月4日、サプライチェーンリスクを警告するスレッドを投稿した。
https://x.com/tulXsi/status/1996606352941334745
この事件は、データ解析サービスのセキュリティ管理が企業全体の弱点となり得る事例として注目を集めている。
関係企業は引き続き調査を進め、被害の全容解明に努めている。
【参考記事】
https://mixpanel.com/blog/sms-security-incident/
https://techcrunch.com/2025/12/02/a-data-breach-at-analytics-giant-mixpanel-leaves-a-lot-of-open-questions/
https://www.reuters.com/world/americas/hacking-group-shinyhunters-claims-theft-data-users-leading-sex-site-pornhub-2025-12-16/