ユニバーサルミュージックのECサイトに不正アクセス　約310万件の個人情報流出

ユニバーサルミュージック合同会社は2026年5月18日、運営するECサイト「UNIVERSAL MUSIC STORE」および「THE BEATLES STORE」が不正アクセスを受け、合計3,105,585件の顧客情報が外部に流出したと発表した。2025年10月にSNS上の投稿を端緒に発覚した事案で、外部専門機関による調査結果として正式に公表した。パスワードおよびクレジットカード情報は同社システム上に保持しておらず、流出は確認されていないという。

ECサイトにおける不正アクセスに関する調査結果のお知らせとお詫び - UNIVERSAL MUSIC JAPAN — ECサイトにおける不正アクセスに関する調査結果のお知らせとお詫び – UNIVERSAL MUSIC JAPANより引用

3行要約

見出し

0.1 3行要約
0.2 わかっていること
0.3 わかっていないこと

1 発覚の経緯　SNS投稿が端緒
2 流出した情報　決済情報は含まれず
- 2.1 UNIVERSAL MUSIC STORE
- 2.2 THE BEATLES STORE
3 同社の対応　専用窓口を設置
4 再発防止　外部機関と連携
5 背景　ECサイトを狙う攻撃が継続
6 タイムライン

同社のECサイト2サイトに不正アクセスがあり、約310万件の顧客個人情報が流出した。流出したのは氏名・住所・電話番号・メールアドレスのほか、購入履歴に含まれる生年月日・性別など。同社は個人情報保護委員会に報告し、対象者への個別連絡と専用窓口の設置を進めている。

わかっていること

流出件数は計3,105,585件。対象は「UNIVERSAL MUSIC STORE」と「THE BEATLES STORE」の利用者で、流出情報には氏名、住所、電話番号、メールアドレス、購入履歴（配送先・請求先として登録された生年月日、性別を含む）が含まれる。ログインパスワードと決済情報は同社が保持していないため流出していない。同社は個人情報保護委員会に報告済みで、現時点で流出情報の不正使用は確認されていないとしている。

わかっていないこと

不正アクセスの侵入経路や攻撃手口の詳細は公表されていない。攻撃者の属性、流出データの拡散状況、転売の有無についても明らかになっていない。フィッシングやなりすましといった二次被害の発生件数も現時点で示されていない。

発覚の経緯　SNS投稿が端緒

同社によると、2025年10月25日、SNS上で同社顧客の個人情報流出を示唆する投稿が確認された。これを受けて社内調査を開始したところ、ECサイトのシステムに不正アクセスの痕跡が見つかった。同日中にシステムメンテナンスを実施し、一部サービスを停止。原因調査とセキュリティ強化を経て、3日後の10月28日に通常営業を再開した。

同社は2025年10月時点で第一報を公表しており、今回は外部専門機関と進めてきた調査が完了したことに伴う続報となる。

流出した情報　決済情報は含まれず

流出が確認された個人情報の内訳は次のとおりだ。

UNIVERSAL MUSIC STORE

リニューアル前の旧サイト「UNIVERSAL MUSIC STORE ANNEX」では、2025年5月20日までに登録された氏名・住所・電話番号・メールアドレスが対象となる。リニューアル後の新サイトでは、登録情報に加え、2025年10月25日までの購入履歴も流出した。購入履歴には配送先・請求先として登録された氏名・生年月日・性別・住所・電話番号・メールアドレスが含まれる。

THE BEATLES STORE

登録された氏名・住所・電話番号・メールアドレスに加え、2025年10月25日までの購入履歴（配送先・請求先情報を含む）が流出した。同社はリニューアル前（2023年12月5日以前）の旧サイトでの登録情報や購入履歴は今回の流出対象に含まれないとしている。

同社の対応　専用窓口を設置

同社は対象となる顧客に対し、順次個別に連絡を進めている。あわせて、本件専用のお問い合わせ窓口を開設した。受付電話は0120-293-026で、月曜から金曜の午前9時から午後6時まで対応する（祝日除く）。

同社は、流出した情報を悪用した不審なメール・SMS・電話が今後発生する可能性があるとして、利用者に開封せず削除するなど警戒を呼びかけている。

再発防止　外部機関と連携

同社は本件を「厳粛に受け止める」とし、外部専門機関の協力のもとセキュリティ対策と監視体制の強化を進めるとしている。再発防止策の具体的な内容については、現時点で詳細を公表していない。

背景　ECサイトを狙う攻撃が継続

ECサイトを標的とした不正アクセスは近年、相次いで報告されている。今回のように決済情報を保有しない事業者でも、登録情報や購入履歴が流出するケースは少なくない。氏名・住所・電話番号・メールアドレスといった基本情報が漏えいすると、利用者を装ったフィッシングや、特定の購買嗜好に合わせた標的型詐欺メールに悪用される懸念がある。生年月日・性別といった属性情報は、本人確認の補強材料として悪用される可能性もある。

タイムライン

2025年10月25日　SNSで個人情報流出を示唆する投稿を確認。社内調査を開始し、不正アクセスの痕跡を発見。同日中にシステムメンテナンスを実施しサービスを一部停止。

2025年10月28日　セキュリティ強化と安全性確認のうえ通常営業を再開。

2025年10月　同社が不正アクセスの発生を公表（第一報）。

2026年5月18日　外部専門機関による調査が完了。流出件数3,105,585件と確定し、調査結果を公表。個人情報保護委員会への報告も実施済みであることを明らかにした。