ユニバーサルミュージックで310万件の個人情報漏洩、ECサイト不正アクセスの最終調査結果

登場人物紹介

チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。

ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo

「ユニバーサルミュージックで310万件って、自分の情報も含まれているかも…」
「パスワードや決済情報は無事みたいだけど、それでも何が危ないの?」

チップス

ボス、ユニバーサルミュージックのECサイトで310万件も漏洩したってニュース、怖すぎでしゅ…

ボス

うむ、5月18日に最終調査結果が公表された。氏名や住所、購入履歴まで含む大規模流出だ。今回は何が起き、何を学ぶべきかを整理しよう。

本記事ではユニバーサル ミュージック合同会社が発表した不正アクセス事案の概要と、ECサイト利用者が今すぐ取るべき対応を整理します。
同じ通販を運営する企業や、過去に登録した利用者にも参考になる内容です。

  • UNIVERSAL MUSIC STORE・THE BEATLES STOREから3,105,585件の個人情報が流出
  • 氏名・住所・電話番号・メール・購入履歴が対象、パスワード/決済情報は対象外
  • 2025年10月にSNS投稿で発覚、約7か月の調査を経て2026年5月18日に最終報を公表

続きを読めば、フィッシングやなりすましから自分を守るための具体的なポイントが分かります。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
目次

流出した310万件の中身と発覚の経緯

規模も時系列も特徴的なインシデントです。
まずは何が流出し、どのように明るみに出たのかを押さえましょう。

対象は最大3,105,585件、決済情報は含まれず

同社の発表によると、流出した可能性のある情報はECサイト2店舗の購入者に紐づく合計3,105,585件にのぼります。
項目は氏名・住所・電話番号・メールアドレス・購入履歴で、配送・請求関連の生年月日や性別も含まれます。
一方、ログイン用パスワードやクレジットカード番号など決済情報はシステム上に保持していなかったため、対象外と明示されています。

主な事実関係を表で整理します。

項目内容
対象サイトUNIVERSAL MUSIC STORE/THE BEATLES STORE
流出件数3,105,585件
流出情報氏名・住所・電話番号・メール・購入履歴ほか
対象外ログイン用パスワード・決済情報
発覚日2025年10月25日(SNS投稿)
最終報公表2026年5月18日

SNS投稿から始まった7か月の調査

発覚のきっかけは2025年10月25日、SNS上で個人情報流出を示唆する投稿でした。
同社は同日中に社内調査を開始し、不審なアクセス痕跡を確認した時点でサービスを一時停止しています。
10月28日には通常運用へ復旧したものの、漏洩規模の確定には外部専門家を交えた約7か月の追加調査が必要でした。

チップス

SNSの投稿から発覚って、けっこう怖いでしゅね…

ボス

うむ、攻撃者が自慢して回るのは珍しくない。事業者にとっては最初の検知ポイントを社内のログだけに頼れない時代だ。

利用者と通販事業者が今すぐ取るべき対応

パスワードが漏れていないなら安心、というのは早計です。
住所と購入履歴の組み合わせは、巧妙な詐欺のネタになります。

なりすまし・フィッシングへの備え

住所・電話番号・購入履歴がそろうと、攻撃者は本人しか知りえないような内容のメールやSMSを送れます。
「ご注文の◯◯について確認」など実在の購入を装う文面で、決済サイトに誘導されるケースが想定されます。
身に覚えがあっても、メール内のリンクではなく公式サイトのブックマークやアプリから確認する習慣が有効です。

利用者側で押さえておきたい行動は次のとおりです。

  • 同社のお知らせを公式サイトで直接確認する
  • UNIVERSAL MUSIC STOREと同じパスワードを他サービスで使い回していれば即変更
  • 注文番号や購入履歴を語る不審メール・SMSのリンクを開かない

通販事業者が見直すべき守りのライン

事業者側にとっての教訓は、決済情報を保持しない設計が被害最小化に効くという点です。
同社はクレジットカード番号やログインパスワードをシステム上に保持していなかったため、二次被害の範囲を限定できました。
裏を返せば、不要な顧客データを溜め込むほど漏洩時のダメージが指数関数的に膨らみます。

チップス

つまり、お客様情報は「持たないほうが安全」ってことでしゅか?

ボス

そのとおりだ。必要な期間だけ保持し、用が済んだら削除する。データ最小化はもはや守りの基本だな。

まとめ:パスワード無事でも油断は禁物

パスワードや決済情報が無事でも、流出した住所と購入履歴は詐欺の材料になります。
本件から得られる要点を整理します。

  • 310万件の氏名・住所・購入履歴が流出、なりすまし詐欺の素材になりやすい
  • SNSが最初の検知ポイントになる時代、ログ監視だけに頼らない
  • 事業者は「持たないデータは漏れない」というデータ最小化を徹底
  • 利用者は公式チャネルでお知らせを確認し、不審メールのリンクは開かない
チップス

付箋に住所メモするのも、もう怖くなってきたでしゅ…

ボス

ふふふ、お前さんの付箋はまた別問題だ。だが守りの基本は同じ、必要な情報だけ、必要な期間だけ持つ。それに尽きる。

詳しい情報はITmedia NEWSの報道同社公式発表を参照してください。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

セキュリティプロ・フリーランスは、セキュリティ領域に特化したフリーランス向けのエージェントサービスです。案件探しだけでなくキャリアにお悩みの方もお気軽にご相談ください。

目次