Udemy情報漏洩 2026年4月 ― 140万件流出、今すぐやること5ステップ 2026年5月25日更新
サイバーレジリエンスサイバーレジリエンス株式会社 / 初版2026年4月28日 / 最終更新2026年5月25日
2026年4月24日、サイバー犯罪グループ「ShinyHunters」が、オンライン学習プラットフォームUdemyから140万件超のユーザーデータを窃取したと主張し、「支払え。さもなくば公開する」と脅迫しました。Udemyが身代金の支払いを拒否したため、4月27日にデータが公開されました。Have I Been Pwned(HIBP)がデータを検証し、データベースに登録済みです。[1]
(2026年4月26日登録)
時点で掲載した企業数
(2024年公式発表)
事件のタイムライン
-
4月24日
ShinyHuntersがダークウェブ上のリークサイトに「Udemy」を掲載。「140万件超のPIIおよび社内データを窃取した。4月27日までに支払いがなければ公開する(FINAL WARNING PAY OR LEAK)」と脅迫。出典:dexpose.io [5]、Cybernews [2]
-
4月26日
Have I Been Pwned(HIBP)がUdemyのデータをデータベースに追加。メールアドレスで自分が含まれるか確認できる状態に。出典:HIBP公式 [1]
-
4月27日
Udemyが交渉を拒否。ShinyHuntersが「我々の申し出を無視した(The company failed to reach an agreement with us despite our incredible patience)」としてデータを公開。140万件のメールアドレス・氏名・住所・電話番号・勤務先・職種・講師の支払い方法が流出。出典:HelpNet Security [4]、HIBP [1]
-
4月28日〜
Redditユーザーより、Udemyで使用していた業務用メールアドレス宛に脅迫メールが届いたとの報告が相次ぐ。Udemy登録メールを名指しした具体的な脅迫内容が確認された。出典:Reddit r/Udemy [6]
-
5月25日現在
Udemy・ベネッセコーポレーションからの公式謝罪・対応案内はまだ確認されていない。複数の被害ユーザーから「問い合わせても回答なし」との報告あり。出典:Reddit r/Udemy [6]、自社調査
【新情報】攻撃経路:Salesforceインスタンスから流出
McAfeeからユーザーに届いたアラートおよび複数のセキュリティ機関の分析によると、今回の情報はUdemyのSalesforceインスタンスから流出したとされています。[6][7]
ShinyHuntersは2026年の一連の攻撃で、標的企業のCRMプラットフォーム(Salesforce・Snowflakeなど)をVishing(電話を使ったソーシャルエンジニアリング)と認証情報窃取により侵害するという共通の攻撃手口を用いています。同時期に被害を受けたZara・7-ElevenもSalesforce/Snowflake連携経由の侵入が確認されています。[7]
企業担当者の方へ:SalesforceなどCRMツール上のユーザー管理・アクセス権限・MFA設定を今すぐ確認してください。
漏洩したデータの内容と二次被害リスク
以下はHIBP公式が確認した漏洩データ項目です。[1]ご自身の登録情報と照らし合わせて、該当するリスクに備えてください。
| 漏洩したデータ | 二次被害リスク | 危険度 |
|---|---|---|
| メールアドレス HIBP確認 | 標的型フィッシングの送付先として悪用。すでに脅迫メール被害報告あり | 🔴 高 |
| 氏名 HIBP確認 | なりすまし・ソーシャルエンジニアリング | 🔴 高 |
| 住所・電話番号 HIBP確認 | SMS詐欺(スミッシング)・電話詐欺 | 🔴 高 |
| 勤務先・職種情報 HIBP確認 | 企業への標的型攻撃・BEC(ビジネスメール詐欺)の下準備 | 🔴 高 |
| 講師の支払い方法 (PayPal・小切手・銀行口座)HIBP確認 |
講師を対象とした金融詐欺・不正送金 | 🔴 高 |
| パスワード | 今回の漏洩データには含まれていない(HIBP公式確認) | 🟢 今回は非対象 |
勤務先・氏名・職種・電話番号が揃えば、攻撃者はあなたの会社と役職を特定し、精巧な標的型フィッシングメールを送ることができます。「Udemyサポートから請求のお知らせ」「IT部門からパスワードリセットのお願い」といった偽メールが届く可能性が高まっています。
実際に2026年4月28日以降、Udemyに使用していた業務用メールアドレス宛に脅迫メールが届いたという報告がRedditで相次いでいます。[6]
ShinyHunters とは何者か
ShinyHuntersは大規模なデータ窃取と恐喝を専門とする金融目的のサイバー犯罪グループです。2026年4月時点でリークサイトに40社超の企業を掲載しており、教育機関・医療・小売・IT企業など業種を問わず攻撃を行っています。[3]
- Vishing(電話詐欺):ITサポートや上司を装った電話でMFAコードや認証情報を騙し取る
- Infostealer(情報窃取型マルウェア):従業員PCに感染させ、認証情報・セッショントークンを自動収集
- MFAバイパス:取得した認証情報でSSOやクラウドサービスに不正ログイン
- SaaS集中攻撃:Salesforce・Snowflakeなど多数の企業が使うクラウドプラットフォームを狙い、1カ所の侵害で複数企業のデータを取得
- 二重恐喝:データを流出させた後に「削除するから支払え」と追加恐喝。支払っても削除の保証なし
フランス当局は2025年6月23日にShinyHunters関係者4名を逮捕していますが、その後も活動は継続しており、2026年のZara・7-Eleven・Udemy等への攻撃が確認されています。[7]
お客様からのご質問と弊社の回答
今回の漏洩データにパスワードは含まれていませんが(HIBP公式確認[1])、Udemyと同じパスワードを別サービスで使い回している場合は速やかに変更してください。これは「クレデンシャルスタッフィング」対策として重要です。攻撃者は過去の流出パスワードリストと今回の漏洩データを組み合わせ、社内システムへの不正ログインを試みます。
複数のユーザーが問い合わせても返答がないと報告しています。[6] ベネッセコーポレーション(日本代理店)からの通知も現時点では確認できません。公式発表があり次第、本記事を更新します。
今すぐやること ― 5つの対応ステップ
-
1
Udemyと同じパスワードを使っているサービスをすぐに変更する
メール・社内システム・クラウドサービス・SNSなど、Udemyと同じまたは似たパスワードを使っているものはすべて変更してください。変更後はパスワードマネージャー(Bitwarden・1Password等)に保存し、サービスごとに異なる長いパスワードを設定します。特にSalesforce・Office 365・Google Workspaceは最優先で変更してください。
-
2
Have I Been Pwned で自分のメールアドレスを確認する
haveibeenpwned.com にアクセスし、Udemyに登録しているメールアドレスを入力してください。「Udemy」と表示されれば漏洩対象です。無料で確認でき、メール通知登録をしておくと今後の漏洩も自動的に通知されます。
-
3
Udemyからのメールの「フィッシング警戒モード」をオンにする
Udemyに登録したメールアドレス宛に、Udemy・IT部門・ベネッセを装った不審なメールが届く可能性があります。メール内のリンクをクリックする前に送信者アドレスを必ず確認し、Udemyへのログインは www.udemy.com に直接アクセスする習慣をつけてください。実際に脅迫メールが届いた事例が報告されています。[6]
-
4
全アカウントに多要素認証(MFA)を設定する
万一パスワードが漏洩しても、MFAがあれば不正ログインを防げます。メール・社内システム・クラウドサービスすべてに認証アプリ(Google Authenticator・Microsoft Authenticator)を設定してください。SMS認証より安全で、設定は5分で完了します。特にSalesforceなどCRMツールへのMFA設定は今すぐ確認してください。
-
5
ベネッセ・Udemyの公式発表を待ち、指示に従う
現時点ではUdemy・ベネッセコーポレーションからの公式謝罪・対応案内がまだ出ていません(2026年5月25日現在)。公式発表後に追加の対応(アカウント停止・再発行等)が指示される場合があります。公式サイト以外の「対応案内」を名乗るメールやSMSには応じないでください。
まずご相談ください
Udemy漏洩をきっかけに、SalesforceやクラウドサービスのMFA設定・
アクセス権限の見直し・従業員への対応案内について不安を感じている企業様からのご相談が急増しています。
弊社の専門スタッフが30分の無料相談で現状をヒアリングし、優先対応策をアドバイスします。
企業担当者の方へ ― 従業員への周知ポイント
「Udemyで情報漏洩が発生しました(2026年4月27日公開)。
①Udemyと同じパスワードを他サービスで使っている方は今すぐ変更してください。
②Udemyを名乗る不審なメールには返信・クリックしないでください(脅迫メール被害報告あり)。
③自分のメールアドレスが含まれているか haveibeenpwned.com で確認できます。
④SalesforceなどCRMツールのアクセス権限・MFA設定を確認してください。
詳細な対応は会社からの正式通知をお待ちください。」
- 社員のUdemyアカウント情報(メール・氏名・勤務先)がベネッセ経由で管理されている可能性があります。
- ベネッセコーポレーションからの公式連絡を待ち、指示に従って対応してください。
- 契約管理者はUdemy Businessの管理コンソールにアクセスし、不審なログイン履歴がないか確認することをお勧めします。
- 従業員のパスワードポリシー(使い回し禁止・MFA必須)を再周知する機会としてください。
- CRMツール(Salesforce等)を導入している場合:外部ベンダーとの連携設定・APIアクセス権限・MFA設定を今すぐ確認してください。
ベネッセ経由の社員アカウント管理・Salesforceアクセス権限の棚卸し・社内周知文の作成支援など、企業規模を問わず対応します。まずはお気軽にご連絡ください。
✅ 今回のポイントまとめ
- 2026年4月27日、ShinyHuntersがUdemyから140万件のデータを公開(HIBP公式確認済み)[1]
- 漏洩データは氏名・メール・住所・電話・勤務先・職種・講師の支払い方法。パスワードは含まれていない(HIBP確認)[1]
- 攻撃経路はUdemyのSalesforceインスタンスと報告されている[6][7]
- 勤務先・役職情報が漏れているため、企業を狙った標的型フィッシングに警戒。実際に脅迫メール被害報告あり[6]
- ShinyHuntersは同時期にZara・7-Elevenほか40社超を同時攻撃。Vishing・SaaS侵害が主な手口[3][7]
- Udemy・ベネッセの公式発表を待ち、それまでは公式サイト以外の案内に従わない(5月25日現在も声明なし)
- この機会にMFA設定とパスワードマネージャー導入を全社展開することを推奨
― 専門家が伴走します
「パスワード変更の周知ができていない」「SalesforceのMFA設定が分からない」
「インシデント報告をどこにすればいいか分からない」など、
情報漏洩対応は意外と手が止まりがちです。
30分の無料相談でご状況をお聞きし、次のアクションを一緒に整理します。
費用・契約なしで相談できます。
📚 4月シリーズ「社会人1年目のサイバーセキュリティ基本」も合わせてご覧ください
📚 参考情報・情報源(全件ファクトチェック実施済み)
-
[1]
✅ 一次情報源 Have I Been Pwned「Udemy Data Breach」― 漏洩データ項目・件数の公式確認(2026年4月26日登録)
https://haveibeenpwned.com/Breach/Udemy -
[2]
✅ 確認済み Cybernews「Udemy faces extortion threat from ShinyHunters」(2026年4月)
https://cybernews.com/security/shinyhunters-claim-udemy-data-theft/ -
[3]
✅ 確認済み eSecurity Planet「ShinyHunters Claims Udemy Data Breach of 1.4M Users」(2026年4月)
https://www.esecurityplanet.com/threats/shinyhunters-claims-udemy-data-breach-of-1-4m-users/ -
[4]
✅ 確認済み HelpNet Security「Udemy data breach – ShinyHunters group」(2026年4月28日)
https://www.helpnetsecurity.com/2026/04/28/udemy-data-breach-shinyhunters-group/ -
[5]
✅ 確認済み DeXpose「ShinyHunters Breach Udemy, Inc. Exposing Over 1.4M Records」(2026年4月24日)
https://www.dexpose.io/shinyhunters-breach-udemy-inc-exposing-over-1-4m-records/ -
[6]
✅ ユーザー報告 Reddit r/Udemy「Udemy Data Breach 2026」― 実被害ユーザーの報告(脅迫メール受信・公式声明なし確認)
https://www.reddit.com/r/Udemy/comments/1t0i5du/udemy_data_breach_2026/ -
[7]
✅ 確認済み eBuilder Security「ShinyHunters Claims Udemy, Zara, and 7-Eleven in Latest Extortion」(2026年)― Salesforce/Snowflake連携・フランス逮捕後の継続活動
https://ebuildersecurity.com/cyber-news/shinyhunters-udemy-zara-7-eleven-data-breach-claims-2026/ -
[8]
✅ 公式 IPA「情報セキュリティ10大脅威 2026」― ランサムウェア・情報漏洩の脅威ランキング
https://www.ipa.go.jp/security/10threats/10threats2026.html -
[9]
✅ 確認済み Paubox「Udemy faces 1.4 million user breach, notorious hackers claim it」― ShinyHuntersの手口・Udemy-Coursera合併背景
https://www.paubox.com/blog/udemy-faces-1.4-million-user-breach-notorious-hackers-claim-it - [10]
※ 初版(2026年4月28日)に記載していた「56%が過去の別漏洩にも登場」という統計は、ソースの一次確認ができなかったため削除しました。確認できた統計のみを本記事に記載しています。
※ 本記事の数値・事実はすべて公開情報をもとに複数ソースで照合済みです(2026年5月25日最終確認)。
Udemy・ベネッセコーポレーションの公式発表があり次第、内容を更新する場合があります。
投稿者プロフィール
最新の投稿
情報2026年6月10日AIを活用した防御戦略 ― 「攻めるAI」に対抗する「守るAI」の導入実務 2026年版|AIと企業のセキュリティ戦略 6月第2回
情報2026年6月5日リスク通信:「フロンティアAI時代のリスク対策 ~Claude Mythos PreviewとAIMS、そしてSCS★3・★4への接続~」- 情報2026年6月2日AIと企業のセキュリティ戦略 ― Claude Mythos時代の経営判断 6月第1回
- 情報2026年5月27日攻撃を受けたとき最初の72時間でやるべきこと ― インシデント初動対応ガイド 2026年版|会社のデータを守る ― 社員が知るべき情報管理の基本 第4回
