1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 個人情報漏洩のニュース
  4. ジム会員の通話と留守電160万件や個人情報が漏洩、AI製ビッシングへの悪用も指摘

ジム会員の通話と留守電160万件や個人情報が漏洩、AI製ビッシングへの悪用も指摘

セキュリティニュース

投稿日時: 更新日時:

ジム会員の通話と留守電160万件や個人情報が漏洩、AI音声悪用リスクも指摘

2025年9月9日、米ミネソタ州のフィットネス業界向けコミュニケーション基盤「Hello Gym」が管理するストレージに、計1,605,345件の音声ファイル(.mp3)がパスワードも暗号化もなく公開状態になっていたことが分かりました。

発見・報告したのはセキュリティ研究者のJeremiah Fowler氏で、Website Planetを通じて開示。

指摘を受けた後、数時間で外部からのアクセスは遮断されました。ただしいつから公開されていたか、第三者がアクセスした痕跡があるかは不明で、解明には内部のフォレンジック調査が必要とされています。

何が公開されていたのか

Fowler氏のサンプリングでは、公開されていたのは2020年から2025年にかけて収集されたとみられる入電・留守電の録音でした。

音声には氏名、電話番号、問い合わせ理由(請求や会費更新、支払い方法の変更など)といった個人情報(PII)が含まれていたほか、スタッフが社内窓口に名乗りや店舗番号やパスワードを伝える場面も確認されています。

さらに、店舗責任者が警備会社にテスト目的で警報の無効化を依頼し、本人確認情報を伝える通話もあったとされ、物理セキュリティに波及する恐れも懸念されます。

音声に登場するのは米国・カナダの多数のジムやフィットネスクラブのフランチャイズ拠点で、複数の大手ブランド名が参照されていました。

ある大手ブランドのコーポレート・プライバシー担当はFowler氏に対し、本部として通話録音は行っておらず、一部フランチャイズが第三者サービスを利用していた事実を確認。

複数のフランチャイジーおよび少なくとも1社の本部担当者から、当該データベースはHello Gymが管理していたとの説明が得られています。

Hello Gymはリード獲得、VoIP電話(VoIP:ボイスオーバーインターネットプロトコル)、フォロー自動化、会員エンゲージメントなどを提供する業界特化型のSaaS/通信基盤で、今回のリポジトリはVoIP録音の内部保管用だった可能性が高いと見られます。

なぜ危険なのか

今回の公開状態は、単なるプライバシー侵害にとどまりません。音声は、次のような多段の悪用を容易にします。

  • 標的型フィッシング(なりすまし)
    留守電の内容(請求の相談、解約の希望等)と氏名・電話番号・通話日時を手にした犯罪者が、「前回のお問い合わせの件ですが…」とジム従業員を装い、カード情報の更新や解約手数料の支払いを誘導するのは難しくありません。本人にとっては“関係者しか知らない具体情報”が語られるため、心理的防御が崩れやすいのが特徴です。

  • 従業員成りすまし・内部不正の装い
    スタッフが店舗番号や内部用パスワードを読み上げている通話が含まれていれば、攻撃者は従業員になりすまして返金・口座変更などを依頼するシナリオを構築できます。

  • 物理的な侵入補助
    警報無効化の手順や認証フレーズが録音されていれば、閉店後の不正侵入につながるリスクは現実味を帯びます。サイバーとフィジカルのハイブリッド攻撃が成立し得る点は見過ごせません。

  • AI音声クローンの素材化
    近年は数秒の音声で声質を模倣できるモデルが公開され、経営幹部の声を偽装した送金詐欺などの事例も相次いでいます。会員・スタッフの生声が大量に揃えば、本人確認の音声認証突破親族・同僚を騙す緊急連絡など、より巧妙なソーシャルエンジニアリングが加速しかねません。

Fowler氏は、これらのシナリオが教育目的の仮説であり、実際の悪用や被害を断定するものではないと念押ししていますが、音声という“強い個人性”を持つデータが、公開の形でまとまって存在していた事実は重く受け止めるべきです。

ビッシング(ボイスフィッシング)を容易にするVALL-E-X

VALL-E-Xは、少量(数秒)の話者サンプルだけで話者の声質・話し方を保ったまま別言語や合成音声を作成できるモデルです。

Microsoftが発表したVALL-Eという音声生成AIを研究者がVALL-E-XとしてOSSとして公開されています。

このモデル自体は悪意のあるモノではありませんが、容易にビッシング(ボイスフィッシング)用の音声生成が可能になります。

法的・規制面の文脈:音声は「生体情報」になり得る

米連邦取引委員会(FTC)は声紋(voiceprint)のように個人識別に用い得る音声データをバイオメトリクスとして扱う立場を示しており、イリノイ州をはじめテキサス、ワシントン、カリフォルニアなど州レベルでも声や声紋を生体識別子と見なす法体系が拡大しています。

包括的な米国の連邦法は未整備ながら、AI時代の音声データは“機微情報”として扱うべきという潮流は強まっています。

Hello Gymと関係各社の対応

公開状態の指摘後、数時間でリポジトリは非公開化されました。Hello Gym側の意図的な不正や、フランチャイズ企業・スタッフの不正を示すものではなく、Fowler氏は関係者の違法性を示唆しない姿勢を明確にしています。とはいえ、第三者委託先の設定ミスアクセス制御の不備大手ブランドの信用リスクに直結したことは、サプライチェーン/委託先管理の難しさをあらためて示しました。

出典

Gym Communications Platform Exposed 1.6 Million Calls and Voicemails Containing the PII of Top Fitness Centers Members

関連記事

2025年に発生したボイスフィッシング(ビッシング)の事例2025年に発生したボイスフィッシング(ビッシング)の事例 2026年のサイバー攻撃と防御はAI活用が前提-ボイスフィッシング(ビッシング)の脅威もGoogleレポート2026年のサイバー攻撃と防御はAI活用が前提-ボイスフィッシング(ビッシング)の脅威もGoogleレポート FBI、SalesforceやSalesloft Driftへの不正アクセスを警告FBI、SalesforceやSalesloft Driftへの不正アクセスを警告 ハーバード大学、ボイスフィッシング(ビッシング)で個人情報漏洩の恐れハーバード大学、ボイスフィッシング(ビッシング)で個人情報漏洩の恐れ 新潟で企業が「ボイスフィッシング」の被害-約1億9,000万円を不正送金新潟の企業が「ボイスフィッシング」の被害-約1億9,000万円を不正送金 パスキーとは?メリットや概要を解説パスキーとは?メリットや概要を解説 福岡銀行をかたるボイスフィッシング(ビッシング)で約8,000万円被害福岡銀行をかたるボイスフィッシング(ビッシング)で約8,000万円被害 日本体操協会、公式サイト不正アクセスで仮設サイトを開設 利用者に注意喚起日本体操協会、公式サイト不正アクセスで仮設サイトを開設 利用者に注意喚起 駿河屋、不正アクセスによるサイバー攻撃で個人情報漏洩 クレジットカード決済を一時停止駿河屋、不正アクセスによるサイバー攻撃で個人情報漏洩 クレジットカード決済を一時停止