ユニバーサルミュージック、ECサイト(ユニバーサルミュージックストア)への不正アクセスで310万5,585件の個人情報流出を確認

セキュリティニュース

投稿日時: 更新日時:

ユニバーサルミュージック、ECサイト(ユニバーサルミュージックストア)への不正アクセスで310万5,585件の個人情報流出を確認

ユニバーサル ミュージック合同会社は2026年5月18日、同社が運営するECサイト「UNIVERSAL MUSIC STORE(ユニバーサルミュージックストア)」および「THE BEATLES STORE」において2025年10月に発生した不正アクセス事案について、外部専門機関の協力のもと進めてきた調査が完了したとして最終調査結果を公表しました。

調査の結果、合計3,105,585件(約310万件)のお客様情報が流出したことが確認されました。流出した情報には氏名・住所・電話番号・メールアドレスのほか、購入履歴(配送先・請求先情報として生年月日・性別を含む)が含まれています。一方、ログイン用パスワードおよびクレジットカード等の決済情報はシステム上に保持していないため流出していないとされています。

この記事のサマリー

  • 流出件数:合計3,105,585件(UNIVERSAL MUSIC STOREおよびTHE BEATLES STOREの合計)。
  • 流出した情報:氏名・住所・電話番号・メールアドレス。新サイトでの購入履歴(配送先・請求先情報として氏名・生年月日・性別・住所・電話番号・メールアドレスを含む)。
  • 流出していない情報:ログイン用パスワード・クレジットカード情報等の決済情報(システム上に保持していない)。
  • 現時点で流出した個人情報の不正使用は確認されていない
  • 経緯:2025年10月25日、SNS上でお客様の個人情報流出を示唆する投稿が確認されたことを受けて社内調査を開始。同日システムメンテナンスを実施・一部サービスを停止し、10月28日に安全性を確認の上で通常営業を再開。
  • 個人情報保護委員会に報告済み。対象者への個別連絡を順次実施中。
  • 今後、流出した情報を悪用した不審な連絡・なりすましの二次被害に注意が必要。

事案の経緯—SNSで流出の指摘も

日付 内容
2025年10月25日 SNS上に個人情報流出を示唆する投稿が発生。関連しているか不明だが同社はシステムメンテナンスを実施し、一部サービスを停止
2025年10月28日 安全性を確認の上、通常営業を再開
2025年10月〜2026年5月 外部専門機関の協力のもとで詳細調査を継続
2026年5月18日 調査完了。流出件数3,105,585件を確認。最終調査結果を公表

2025年10月24日、セキュリティ研究コミュニティのXアカウントが、UMG Japanの侵害もしくは同社が誤って公開した約300万件の顧客レコードが露出したと主張しました。

公開されたスクリーンショットには、顧客オブジェクト(氏名・住所・電話・メール・配送先・加盟店ID等)を含むAPIレスポンス画面や、Customersフォルダ約4.65GB/Ordersフォルダ約544MBのディレクトリ容量が確認できるものが含まれます。

投稿者は「請求(決済)データは含まれていない」とも述べていました。

なお、これらは外部の主張・資料であり、ユニバーサル ミュージック合同会社は本指摘の関連に関しては明言していません。

流出が確認された個人情報の詳細

UNIVERSAL MUSIC STORE(2サイト)

リニューアル前の旧サイト(現:UNIVERSAL MUSIC STORE ANNEX)(store-annex.universal-music.co.jp)にて、2025年5月20日までにお客様がご登録された以下の情報:

  • 氏名
  • 住所
  • 電話番号
  • メールアドレス

リニューアル後の新サイト(store.universal-music.co.jp)にてお客様がご登録された以下の情報:

氏名・住所・電話番号・メールアドレス、

および新サイトでの2025年10月25日までの購入履歴(配送先・請求先情報として登録された氏名・生年月日・性別・住所・電話番号・メールアドレスを含む)

THE BEATLES STORE(the-beatles-store.jp)

お客様がご登録された氏名・住所・電話番号・メールアドレス、および2025年10月25日までの購入履歴(配送先・請求先情報として登録された氏名・生年月日・性別・住所・電話番号・メールアドレスを含む)

※リニューアル前(2023年12月5日以前)の旧サイトでのご登録情報・購入履歴は含まれません。

流出していない情報

情報の種類 流出状況
ログイン用パスワード 流出なし(システム上に保持していない)
クレジットカード情報等の決済情報 流出なし(システム上に保持していない)

二次被害への注意—フィッシング・なりすましへの警戒を

現時点では流出した個人情報の不正使用は確認されていません。しかし氏名・住所・電話番号・メールアドレス・生年月日・性別・購入履歴という組み合わせは、フィッシング詐欺・なりすまし・標的型詐欺の材料として高い悪用価値を持ちます。

同社は以下の点に十分注意するよう呼びかけています。今後、当該情報を悪用した不審な連絡やなりすましが発生する可能性があるため、不審なメールやSMSを受信された場合は開封せず削除してください。また不審な電話には応じないよう注意することも求めています。

特に、「ユニバーサルミュージックを名乗った」「個人情報の確認を求める」「ポイント付与や補償を案内する」といった内容のメール・SMS・電話は詐欺の可能性が高いため、公式の問い合わせ窓口を通じて確認してください。


再発防止策と対応状況

同社は本件を個人情報保護委員会に報告しています。また外部専門機関の協力のもと、セキュリティ対策および監視体制の強化を含む再発防止策を講じていくとしています。対象となるお客様には順次個別連絡を実施しています。


お問い合わせ先

ユニバーサル ミュージック合同会社 個人情報に関するお客様ご相談窓口 TEL:0120-293-026 受付時間:月曜〜金曜 9:00〜18:00(祝日を除く) 問い合わせページ:https://umj.lnk.to/info2510


参考情報