Sony Music Shopで個人情報が他ユーザーから閲覧可能に |セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年02月18日更新日時: 2026年02月18日

Sony Music Shopは、サイト上で一部のお客様の個人情報が他のお客様から閲覧できる状態になっていた事象について、最終的な調査結果が確定したとして「個人情報流出に関するお詫びと最終のご報告」を公表しました。

概要

原因は大きく2つです。

1つ目は、2025年2月13日未明のシステムメンテナンスで導入したキャッシュ機能の設計・事前確認の不備により、特定条件下で新規会員登録画面に入力した内容が他ユーザーの画面に表示され得る状態になっていた点です。

2つ目は、外部サイトアカウント連携（Amazonアカウント、楽天ID）の紐づき処理が誤り、他ユーザーの会員情報と外部アカウントが結び付いてしまい、本人とは異なる他ユーザーのMy Pageへアクセスできてしまう状態が発生した点です。

なお、2月21日の案内に記載されていた「お問い合わせフォームの入力内容が他の画面に表示される事象」については、最終的にお客様への影響はなかったとしています。

アクセス集中時の負荷軽減と速度向上を目的に、Webページ表示内容を一時保存するキャッシュ機能を導入したものの、設計および事前確認に不備がありました。その結果、複数ユーザーが同時に新規会員登録を行った場合に限り、入力内容が他ユーザーの会員登録画面に表示される可能性がある状態になったと説明しています。

新規会員登録時の外部アカウント連携で誤った紐づきが発生し、他ユーザーの会員情報と外部アカウントが結び付く状況が発生しました。これにより、本人ではない他ユーザーのMy Pageへアクセスできる状態となり、会員情報が閲覧され得る事象につながりました。

同社は、アクセス集中負荷軽減および最適化を目的とした改修作業の中で、担当者間の作業範囲や役割分担に認識のずれが生じたことが発生要因だと説明しています。

今回の最終報告では、事象ごとに発生期間、影響人数、閲覧可能だった情報が具体化されています。

発生期間：2025年2月13日 6:23 ～ 2月20日 17:55
対象ページ：新規会員登録（入力画面）
影響人数
- 情報を閲覧された可能性のあるお客様：21名
- 情報を閲覧した可能性のあるお客様：21名
表示・閲覧できた可能性のある個人情報
氏名（漢字／フリガナ）、メールアドレス、住所（郵便番号、都道府県、市区町村、丁目番地号、建物名、部屋番号）、電話番号、性別、生年月日

発生期間：2025年2月13日 6:23 ～ 3月5日 20:34:08（誤った外部連携情報を削除）
影響人数
- 会員情報にアクセスされたお客様：5名
- 会員情報にアクセスできてしまったお客様：5名
アクセスできた個人情報
ログイン後に表示される氏名、保有ポイント、My Page掲載情報（カスタマーデスクからのお知らせ、出荷完了通知、ご注文履歴一覧、ポイント通帳、氏名・連絡先・住所・性別・生年月日）、さらにクレジットカード情報の一部（下4桁、有効期限、名義）

同社は、個人情報へのアクセスが可能となっていたお客様には個別に案内済みであり、意図せず他者情報にアクセスできてしまったお客様にも重ねて謝罪しています。

今回の事案は、外部攻撃ではなく「性能改善目的の変更」が引き金になり、キャッシュと認証・連携の境界で個人情報が露出した典型例です。ECや会員サイト運用では次の点が重要になります。

キャッシュと個別情報の分離設計
会員登録や問い合わせフォームなど、ユーザー入力やセッション依存の画面はキャッシュ対象外を原則とし、例外時はキー設計（ユーザー単位・セッション単位）を厳格化する必要があります。
外部ID連携は誤紐づきが致命傷になり得る
誤連携が発生すると、本人認証をすり抜けて他者のMy Pageに入れる形になり、実害が大きくなります。連携処理の冪等性、状態遷移、例外系テスト、監査ログの整備が重要です。