VRChat, Inc.は、240万人以上のユーザーの情報がデータ漏洩の被害に遭ったことを明らかにするデータ漏洩通知を 提出した。
通知によると、VRChatでは2026年5月10日から12日の間に、一部のアカウントデータへの不正アクセスが発生しました。このアクセスはVRChatのクラウド環境内で発生し、ユーザープロフィールおよびログイン関連のデータが対象となりました。
公開された情報はアカウントによって異なりましたが、以下が含まれていた可能性があります:
- VRChatのユーザー名
- VRChatアカウントに登録されているメールアドレス
- VRChat+のサブスクリプション状況
- ログイン履歴(デバイス情報、ハードウェア識別子、IPアドレスを含む)
VRChatは、パスワード、クレジットカード番号やその他の支払い情報、および年齢確認に使用された公的身分証明書については、漏洩していないことを明確に表明しています。
VRChatは、主にVRヘッドセット向けに設計されたソーシャルプラットフォームであり、ユーザーが自作の3Dアバターやワールドを通じて他のユーザーと交流することができます。VRChatには、PC版はSteam経由で、Meta Quest Store経由で、または対応デバイス向けのAndroid アクセスできます。
パスワードやクレジットカード情報が流出していないため、今回の情報漏洩のみを原因として、直接的なカード詐欺や決済手段の即時乗っ取りが発生する可能性は低いと考えられます。しかし、パスワードやカード情報がなくても、識別子、メールアドレス、IPアドレスや端末情報の組み合わせにより、影響を受けたユーザーにはいくつかのリスクが生じます。
潜在的なリスク
フィッシング
サイバー犯罪者は、標的型フィッシング攻撃においてVRChatのユーザー名やメールアドレスを利用する場合があります。例えば、ユーザーは「VRChatサポート」を装ったフィッシングメールやプラットフォーム内のメッセージを受け取り、偽のセキュリティ警告が表示されたり、悪意のあるリンクを通じて「年齢確認を行う」よう促されたりすることがあります。
VRChat+のサブスクリプション状況が把握できれば、詐欺の手口はより説得力のあるものになる可能性があります。詐欺師は、「VRChat+のサブスクリプションに請求上の問題が発生しています」といった個別の誘い文句や、返金詐欺を送りつけることが可能であり、これらは有料ユーザーの間でクリック率が高くなる傾向があります。
アカウント乗っ取り
サイバー犯罪者は、今回の情報漏洩で入手したユーザー名やメールアドレスを、他のデータ漏洩事件で盗まれたパスワードと組み合わせて、VRChatのアカウントへのログインを試みる可能性があります。この「クレデンシャルスタッフィング」と呼ばれる手法は、複数のサイトで同じパスワードを使い回すユーザーの弱点を突くものです。
こうした貴重なアカウントは、他のプレイヤーに売却されたり、詐欺に利用されたりする可能性があります。
Identity
VRChatアカウントと紐付けられたSteamやMetaのユーザーIDは、特に同じメールアドレスやプロフィール名が再利用されている場合、サイバー犯罪者がゲームやソーシャルプラットフォーム間で個人情報を結びつける手助けとなる可能性があります。
IPアドレス、ログイン履歴、端末情報、その他の識別子も、ユーザーに関するより詳細な広告や追跡プロファイルを作成するのに役立ちます。
安全に過ごすには
VRChatは、追加のセキュリティ対策を講じ、さらなる脅威を監視するために専門家を起用したと発表しています。今回の情報漏洩の影響を受けた方は、以下の対策を実施して身を守ってください:
何よりもまず、VRChatやVRChatを利用しているゲームプラットフォームを名乗るメール、テキストメッセージ、電話には十分注意してください。サイバー犯罪者は、セキュリティ侵害を悪用してフィッシング詐欺を行うことが多いためです。
VRChatのパスワードを他のサービスでも使用している場合は、直ちにそれらのアカウントのパスワードを変更してください。また、まだ設定していない場合は、VRChatアカウントで二段階認証(2FA)を設定してください。
データ漏洩の被害に遭ったことが分かった場合の対処法については、当社の記事でより一般的なアドバイスをご覧いただけます。
正直なところ、シークレットウィンドウには限界があります。
情報漏洩、ダークウェブでの取引、クレジットカード詐欺。Malwarebytes Identity Theft これらすべてを監視し、迅速に警告を発し、さらに個人情報盗難保険も付帯しています。
