ユニバーサルミュージック合同会社は2026年5月18日、公式オンラインストア「UNIVERSAL MUSIC STORE」とビートルズ公式オンラインストア「THE BEATLES STORE」で、合計3,105,585件の利用者情報が流出したことを発表した。
事件の発端は2025年10月24日頃、セキュリティ研究コミュニティ「vx-underground」(マルウェアやサイバーセキュリティ情報を扱う教育目的のサイトおよびXアカウント)がSNS上で同社顧客情報の露出を示唆する投稿を行ったことだった。
この投稿にはAPI(ソフトウェア同士を繋ぐ仕組み)のレスポンス画面やデータフォルダの容量を示す画像が含まれており、ユニバーサルミュージックは10月25日にこれを確認。
調査から不正アクセスの痕跡を発見し、システムメンテナンスを実施し一部サービスを停止した。
その後、安全性を確認した上で2025年10月28日に通常営業を再開。
外部の専門機関と協力して詳細調査を進め、個人情報保護委員会への報告も行っている。
なお、具体的な不正アクセスに至った経緯や原因については公表されていない。
流出した情報としてUNIVERSAL MUSIC STOREでは、リニューアル前の旧サイト(現「UNIVERSAL MUSIC STORE ANNEX」)で2025年5月20日までに登録された氏名・住所・電話番号・メールアドレス、リニューアル後の新サイトで登録された氏名・住所・電話番号・メールアドレスおよび2025年10月25日までの購入履歴。
THE BEATLES STOREでは、登録された氏名・住所・電話番号・メールアドレスおよび2025年10月25日までの購入履歴がそれぞれ該当している。
同社は「ログイン用パスワードおよびクレジットカード情報などの決済情報はシステム上に保持しておらず、流出は確認されていない」と説明。
また、現時点で流出した情報の不正使用などは確認されていないとしている。
対象者には順次個別連絡を行い、専用問い合わせ窓口を設置し、公式ページで詳細を確認できるようにした。
再発防止に向け、セキュリティ対策と監視体制の強化を進めるとしている。
この事案は2025年10月の公表から約7カ月を経て調査が完了したもので、利用者への影響を最小限に抑える対応が続けられている。
【参考】
https://www.universal-music.co.jp/press-releases/
https://www.technadu.com/universal-music-group-japan-data-breach-exposes-millions-of-customer-records/611871/
https://topics.smt.docomo.ne.jp/amp/article/oricon/entertainment/oricon-2455415