Udemy情報漏洩 2026年4月 ― 140万件流出、今すぐやること5ステップ
サイバーレジリエンスサイバーレジリエンス株式会社 / 2026年4月28日発行
2026年4月24日、悪名高いサイバー犯罪グループ「ShinyHunters」が、オンライン学習プラットフォームUdemyから140万件のユーザーデータを窃取したと主張し、「支払え。さもなくば公開する」と脅迫しました。Udemyが身代金の支払いを拒否したため、4月27日にデータが公開されました。Have I Been Pwned(HIBP)がデータを検証・登録済みです。
事件のタイムライン
- 4月24日 ShinyHuntersがダークウェブ上のリークサイトに「Udemy」を掲載。「140万件超のPIIおよび社内データを窃取した。4月27日までに支払いがなければ公開する」と脅迫。
- 4月26日 Have I Been Pwned(HIBP)がUdemyのデータをデータベースに追加。メールアドレスで自分が含まれるか確認できる状態に。
- 4月27日 Udemyが交渉を拒否。ShinyHuntersが「我々の申し出を無視した」としてデータを公開。140万件のメールアドレス・氏名・住所・電話番号・勤務先情報・講師の支払い方法が流出。
- 4月28日現在 Udemyによる公式発表・謝罪文はまだ確認されていない(本記事執筆時点)。ベネッセコーポレーション(日本代理店)からの公式通知も待機中。
漏洩したデータの内容と二次被害リスク
| 漏洩したデータ | 二次被害リスク | 危険度 |
|---|---|---|
| メールアドレス | 標的型フィッシングの送付先として悪用 | 🔴 高 |
| 氏名 | なりすまし・ソーシャルエンジニアリング | 🔴 高 |
| 住所・電話番号 | SMS詐欺(スミッシング)・電話詐欺 | 🔴 高 |
| 勤務先・役職情報 | 企業への標的型攻撃・BEC(ビジネスメール詐欺)の下準備 | 🔴 高 |
| 講師の支払い方法 (PayPal・口座情報) |
金融詐欺・不正送金 | 🔴 高 |
| パスワード | 今回の漏洩データには含まれていない | 🟢 今回は非対象 |
⚡ 「パスワードが漏れていないから安心」は危険です。
勤務先・氏名・電話番号が揃えば、攻撃者はあなたの会社と役職を特定し、精巧な標的型フィッシングメールを送ることができます。「Udemyサポートから請求のお知らせ」「IT部門からパスワードリセットのお願い」といった偽メールが届く可能性が高まっています。
お客様からのご質問と弊社の回答
今回の漏洩データにパスワードは含まれていませんが、Udemyと同じパスワードを別サービスで使い回している場合は、速やかに変更してください。これは「クレデンシャルスタッフィング」対策として重要です。攻撃者は過去に流出したパスワードリストを使い、他のサービスへの不正ログインを試みます。
その他の対応については、ベネッセの正式通知・公式発表を待って行動してください。
今すぐやること ― 5つの対応ステップ
-
1
Udemyと同じパスワードを使っているサービスを今すぐ変更する
メール・社内システム・クラウドサービス・SNSなど、Udemyと同じまたは似たパスワードを使っているものはすべて変更してください。変更後はパスワードマネージャー(Bitwarden等)に保存し、サービスごとに異なる長いパスワードを設定します。
-
2
Have I Been Pwned で自分のメールアドレスを確認する
haveibeenpwned.com にアクセスし、Udemyに登録しているメールアドレスを入力してください。「Udemy」と表示されれば漏洩対象です。無料で確認でき、登録すると今後の漏洩も通知されます。
-
3
Udemyに届くメールの「フィッシング警戒モード」をオンにする
今後、Udemy・ベネッセ・IT部門を装った不審なメールが届く可能性があります。リンクをクリックする前に送信者アドレスを確認し、Udemyのログインは必ず www.udemy.com に直接アクセスする習慣をつけてください。メール内のリンクは使わないこと。
-
4
全アカウントに多要素認証(MFA)を設定する
万一パスワードが漏洩しても、MFAがあれば不正ログインを防げます。メール・社内システム・クラウドサービスすべてに認証アプリ(Google Authenticator・Microsoft Authenticator)を設定してください。SMS認証より安全で、設定は5分で完了します。
-
5
ベネッセ・Udemyの公式発表を待ち、指示に従う
現時点ではUdemy・ベネッセコーポレーションからの公式謝罪・対応案内がまだ出ていません。公式発表後に追加の対応(アカウント停止・再発行等)が指示される場合があります。公式サイト以外の「対応案内」を名乗るメールやSMSには応じないでください。
企業担当者の方へ ― 従業員への周知ポイント
「Udemyで情報漏洩が発生しました(2026年4月27日公開)。
①Udemyと同じパスワードを他サービスで使っている方は今すぐ変更してください。
②Udemyを名乗る不審なメールには返信・クリックしないでください。
③自分のメールアドレスが含まれているか haveibeenpwned.com で確認できます。
詳細な対応は会社からの正式通知をお待ちください。」
- 社員のUdemyアカウント情報(メール・氏名)がベネッセ経由で管理されている可能性があります。
- ベネッセコーポレーションからの公式連絡を待ち、指示に従って対応してください。
- 契約管理者はUdemy Businessの管理コンソールにアクセスし、不審なログイン履歴がないか確認することをお勧めします。
- 従業員のパスワードポリシー(使い回し禁止・MFA必須)を再周知する機会としてください。
✅ 今回のポイントまとめ
- 2026年4月27日、ShinyHuntersがUdemyから140万件のデータを公開(HIBP確認済み)
- 漏洩データは氏名・メール・住所・電話・勤務先・支払い方法。パスワードは含まれていない
- ただし「使い回し」があれば別の漏洩リストから攻撃される可能性あり → 今すぐ変更
- 勤務先・役職情報が漏れているため、企業を狙った標的型フィッシングに警戒
- ベネッセ・Udemyの公式発表を待ち、それまでは公式サイト以外の案内に従わない
- この機会にMFA設定とパスワードマネージャー導入を全社展開することを推奨
📚 4月シリーズ「社会人1年目のサイバーセキュリティ基本」も合わせてご覧ください
参考情報・情報源
- Cybernews「Udemy faces extortion threat from ShinyHunters」(2026年4月24日・27日更新)
https://cybernews.com/security/shinyhunters-claim-udemy-data-theft/ - Have I Been Pwned「Udemy Breach」(2026年4月26日登録 ― 漏洩データ項目の公式確認)
https://haveibeenpwned.com/Breach/Udemy - eSecurity Planet「ShinyHunters Claims Udemy Data Breach of 1.4M Users」(2026年4月)
https://www.esecurityplanet.com/threats/shinyhunters-claims-udemy-data-breach-of-1-4m-users/ - IPA「情報セキュリティ10大脅威 2026」(組織・個人向け脅威ランキング)
https://www.ipa.go.jp/security/10threats/10threats2026.html - Have I Been Pwned(メールアドレス漏洩チェック)
https://haveibeenpwned.com
※本記事は2026年4月28日時点の情報をもとに作成しています。
Udemy・ベネッセコーポレーションの公式発表があり次第、内容を更新する場合があります。
投稿者プロフィール
