セキュリティニュース

TOKYO FM 外部クラウドサービスからユーザー情報流出 サーバーへの不正アクセスはなし

エフエム東京(TOKYO FM、東京都千代田区)は6日、年初よりSNS上で同社のサーバーがサイバー攻撃を受けて大量の個人データが流出したとの投稿がなされていたことについて、調査の結果を発表した。同社が運用するサーバーへの不正アクセスや情報持ち出しの痕跡はなかったが、ユーザー統計分析用に利用している外部クラウドサービス上のユーザー属性情報の一部が何らかの原因により流出していたことが判明したという。流出した情報は分析用に加工されたもので、氏名、住所、電話番号、ログインパスワード、クレジットカード情報などの機密性の高い情報は含まれていないとした。

当社へのサイバー攻撃を指摘する投稿に関する事実確認について|IRニュース|TOKYO FM 会社案内より引用

SNS投稿を受けて緊急調査

エフエム東京によると、年初よりSNSなどにおいて同社のサーバーがサイバー攻撃を受け、大量の個人データが流出したとの投稿がなされていた。これを受けて、同社のホームページ(番組への投稿機能などを含む)および2025年9月末まで同社が運営していた音声プラットフォーム「AuDee」の両サービス運用サーバーについて、それぞれ緊急で調査を実施したという。

調査の結果、両サーバーともに不正アクセスや情報持ち出しの痕跡は確認されなかったという。

外部クラウドサービスから流出

一方で、同社がユーザー統計分析のために利用している外部クラウドサービス上のユーザー属性情報の一部が何らかの原因により流出していたことが判明したという。原因については外部クラウドサービス事業者とともに追加調査中だとしている。

外部クラウドサービス事業者名は明らかにされていない。同社は原因究明に向けて外部事業者との調査を継続しているという。

流出した情報の内容

流出した情報は、旧「AuDee」のメッセージフォーム投稿データの一部および「マイスタジオ」他番組関連サービスのユーザー情報の一部だという。具体的には、ユーザーネーム(ラジオネームなど)、性別、年齢、職業種別、都道府県、投稿メッセージ本文、一部のメールアドレス(ユーザーネームにメールアドレスを記入していた方など)だとしている。

当該データは分析用に加工されたものであり、機密性の高い情報(氏名、住所、電話番号、ログインパスワード、クレジットカード情報など)の流出はないという。

なお、同社地上波ラジオ番組のメッセージフォームに書き込まれた情報は含まれていないとした。

AuDeeとマイスタジオ

AuDee(オーディー)は、TOKYO FMをはじめとするJFN系列局などの番組を配信していた音声プラットフォームだ。ライブ配信やポッドキャスト、オリジナル番組などを提供していたが、2025年9月末でサービスを終了している。

マイスタジオは、TOKYO FMのリスナー向けサービスで、番組への投稿や番組情報の取得などができるサービスとみられる。

分析用データとは

同社は、流出したデータについて「分析用に加工されたもの」としている。これは、ユーザーの統計分析やマーケティング目的で、個人を特定できないように加工されたデータを指すと考えられる。

ただし、今回はユーザーネームや投稿メッセージ本文、一部のメールアドレスも含まれていたため、完全に匿名化されたデータではなかった可能性がある。特に、ユーザーネームにメールアドレスを記入していた方については、メールアドレスが流出したことになる。

既にセキュリティ対策を実施

エフエム東京は、既に該当する分析用外部クラウドサーバーへのデータ蓄積を停止し、不要データの削除などセキュリティ対策の強化を実施済みだという。

同社は、不審なメールや不審なリンクを含むメッセージを受信した場合は、ウイルス感染やフィッシング詐欺のリスクがあるため、開封やリンクへのアクセスを控え、速やかに削除するよう呼びかけている。

外部クラウドサービスのリスク

今回の事案は、自社サーバーへの不正アクセスではなく、外部クラウドサービスからの情報流出だった。企業が外部のクラウドサービスを利用する際には、サービス提供者のセキュリティ対策を確認し、適切なデータ管理を行うことが重要だ。

特に、ユーザー情報を外部サービスに保存する場合、どのような情報をどのような目的で保存するのか、どのようなセキュリティ対策が取られているのかを明確にしておく必要がある。また、不要になったデータは速やかに削除することも重要だ。

第三者サービスの管理責任

外部クラウドサービスを利用する場合でも、データの管理責任は利用企業にある。サービス提供者のセキュリティ対策だけに頼るのではなく、利用企業自身もデータの保護に努める必要がある。

今回、エフエム東京は「原因については外部クラウドサービス事業者とともに追加調査中」としており、原因が外部サービス側にあるのか、同社のデータ管理に問題があったのかは明らかになっていない。

SNSでの情報拡散と事実確認

今回の事案は、SNS上で「サイバー攻撃を受けて大量の個人データが流出した」という投稿から始まった。エフエム東京は緊急調査を実施し、事実関係を確認したうえで、正式な発表を行った。

SNS上の情報は必ずしも正確ではなく、誤った情報が拡散されることもある。企業は、SNS上で自社に関する情報が拡散された場合、速やかに事実確認を行い、正確な情報を発信することが重要だ。

ユーザーへの注意喚起

エフエム東京は、当社または番組からであることを装った不審なメールや不審なリンクを含むメッセージを受信された場合は、ウイルス感染やフィッシング詐欺のリスクがあるため、開封やリンクへのアクセスを控え、速やかに削除するよう呼びかけている。

情報流出が確認された場合、その情報を悪用した詐欺メールやフィッシング攻撃が行われる可能性がある。ユーザーネームやメールアドレスが流出した場合、それらを利用してターゲットを絞った攻撃(標的型攻撃)が行われるリスクがある。

再発防止に向けて

エフエム東京は「引き続き、外部事業者との調査を通じて原因究明に努め、再発防止とセキュリティ対策の更なる強化を徹底してまいります」としている。

今回の教訓を活かし、外部クラウドサービスを含むシステム全体のセキュリティ対策を見直すことが求められる。特に、ユーザー情報を外部サービスに保存する際の管理方法、アクセス制御、データの暗号化、定期的なセキュリティ監査などを徹底する必要がある。

同社は「ユーザーの皆さまにはご心配をおかけしておりますことを、深くお詫び申し上げます」としている。

関連記事

著者紹介:CCSIセキュリティメディア編集部

CCSIセキュリティメディア編集部 サイバーセキュリティメディア、CCSI編集部です。


カテゴリ:
タグ:,