【インシデント速報】ユニバーサルミュージック310万件流出確定・新日本検定協会ランサムウェア・ジーニーMAクラウド不正利用|2026年5月22日
secure【インシデント速報】ユニバーサルミュージック310万件流出確定・新日本検定協会ランサムウェアージーニーMAクラウド不正利用|2026年5月22日
① ユニバーサルミュージックのECサイトで310万件超の個人情報流出が最終確定。ECサイト運営者と利用者は対応確認を。
② 損保大手6社の委託先・新日本検定協会でランサムウェア攻撃により約3万件が流出の可能性。委託先管理が問われる典型例。
③ 東証グロース上場のジーニーがクラウド計算資源の不正利用(クリプトジャッキング)を確認。SaaSツール導入企業はアカウント管理を再確認。
不正アクセスユニバーサルミュージック ECサイト不正アクセス — 310万5585件の流出が最終確定
| 公表日 | 2026年5月18日 |
|---|---|
| 攻撃発覚 | 2025年10月25日(SNS上の書き込みを端緒に調査開始) |
| 流出件数 | 3,105,585件(確定) |
| 対象サイト | UNIVERSAL MUSIC STORE / THE BEATLES STORE |
| 流出情報 | 氏名・生年月日・性別・住所・電話番号・メールアドレス・購入履歴 |
| クレジットカード情報 | 流出なし(同社システムに非保存) |
ユニバーサル ミュージック合同会社は2026年5月18日、自社ECサイト「UNIVERSAL MUSIC STORE」および「THE BEATLES STORE」への不正アクセスにより、利用者310万5585件分の個人情報が流出したと発表した。流出件数はこれまで「可能性あり」の段階だったが、今回の発表で最終確定となった。
事の発端は2025年10月25日。SNS上に利用者の個人情報流出を示唆する投稿が現れたことを受け、同社は即日サービスを停止して調査を開始した。約7カ月に及ぶ調査の末、攻撃者が外部から不正アクセスしてデータを窃取していた事実が確認された。クレジットカード情報は同社システム内に保存していなかったため流出は免れたものの、氏名・住所・購入履歴など広範な個人情報が対象となっている。
同社は現時点で二次被害(不正利用等)の報告は受けていないとしているが、対象者数が300万人を超えることから、フィッシングメールや名簿売買など長期にわたるリスクが残る。
中小企業への影響・教訓
ECサイトを運営する中小企業にとって、本件は対岸の火事ではない。攻撃発覚から公表まで7カ月を要したことは、調査・証拠保全・通知準備の難しさを示す。自社ECサイトで「不審なアクセス急増」「夜間の大量ダウンロード」などの兆候を検知できる仕組みがあるか確認が必要だ。また、購入者が数万件を超える場合、個人情報保護委員会への報告義務が生じる(漏えい件数問わず要配慮情報や財産的被害が生じるケースは即報告)。対応フローの整備状況を改めて確認してほしい。
推奨対応
- 自社ECサイトのアクセスログを定期的に確認し、大量ダウンロードや深夜の異常アクセスを検知できる体制を整える
- EC事業者はPCIDSSの準拠状況と、カード情報の非保持化(トークン決済・外部決済代行への完全委託)を確認する
- 顧客向けには「パスワードの変更」「不審なメールの無視」を速やかに案内する体制を持つ
- 個人情報保護委員会への報告フロー(第一報の72時間以内目安)をあらかじめ定めておく
ランサムウェア新日本検定協会 — 損保大手6社の委託先でランサムウェア攻撃、約3万件漏えいの可能性
| 公表日 | 2026年5月11日 |
|---|---|
| 攻撃発生 | 2025年11月26日 |
| 流出可能性件数 | 約30,350件 |
| 委託元 | 東京海上日動、三井住友海上、損保ジャパン、あいおいニッセイ同和、共栄火災、楽天損保(6社) |
| 攻撃手法 | ネットワーク機器の脆弱性悪用→ドメイン管理者アカウント乗っ取り→内部侵入・データ窃取・暗号化 |
| 現状 | システムはおおむね復旧。ダークウェブ上への流出は未確認 |
貿易貨物の鑑定・検査を手掛ける一般財団法人新日本検定協会(東京都港区)は2026年5月11日、2025年11月26日に受けたランサムウェア攻撃により、約3万350件の個人情報が流出した可能性があると発表した。
攻撃者はまずネットワーク機器(VPN等)の脆弱性を突いて外部から侵入し、ドメイン管理者アカウントを不正取得した。その後、内部ネットワークを横断的に移動しながらデータを探索・窃取したうえでランサムウェアを展開した。典型的な「侵入→ラテラルムーブメント→データ窃取→暗号化」という二重恐喝型攻撃の構図だ。
本件で注目すべきは委託元が損保大手6社にわたる点だ。委託先の一機関の被害が、委託元各社の顧客情報流出につながった。東京海上日動も5月11日に同件に関連する情報漏えいのおそれを公表している。システム障害は5月16日時点でおおむね復旧しているものの、流出データのダークウェブへの掲載は引き続き監視中だ。
中小企業への影響・教訓
「大企業が被害を受けた話」と思いがちだが、実態は中規模の専門機関(新日本検定協会)が攻撃の入口になった。中小企業でも取引先・委託先になることで、その情報を保有する大企業の顧客情報を守る責任を負う。VPN機器のファームウェア更新は最優先事項だ。国内インシデントの多くで「ネットワーク機器の脆弱性悪用」が起点となっている。自社のVPN・ルーターのアップデート状況を今すぐ確認してほしい。
推奨対応
- 社外公開しているVPN機器・ルーター・ファイアウォールのファームウェアを最新に更新する(IPAの「重要なセキュリティ情報」を定期確認)
- ドメイン管理者アカウントには多要素認証(MFA)を必ず設定し、利用範囲を最小化する
- 重要データのオフライン/クラウドバックアップを取得し、ランサムウェア暗号化からの復旧手段を確保する
- 取引先から個人情報を預かっている場合は、委託契約書の安全管理措置条項を見直す
不正アクセスジーニー「GENIEE MA」— クラウド計算資源の不正利用を確認、個人情報漏えいはなし
| 公表日 | 2026年5月21日 |
|---|---|
| 不正利用検知 | 2026年5月15日 |
| 被害内容 | GENIEE MA上のクラウド計算資源を不正利用(クリプトジャッキングの可能性) |
| 個人情報・機密情報の漏えい | 確認なし |
| 他サービスへの影響 | 現時点では確認なし |
| 業績への影響 | 精査中(クラウド利用料金の増加が懸念) |
東証グロース上場の株式会社ジーニー(東京都新宿区)は2026年5月21日、同社が提供するマーケティングオートメーションツール「GENIEE MA」において、第三者による不正アクセスおよびクラウド計算資源の不正利用があったと公表した。
2026年5月15日に外部からの不正利用を認識し、即日調査を開始。調査の結果、GENIEE MAの特定サービスのクラウドアカウントへの不正アクセスが確認された。不正利用の手口は「クリプトジャッキング」の可能性が高いとみられる。これは攻撃者が正規のクラウドアカウントに侵入し、仮想通貨マイニングなど計算コストを要する処理を被害組織の費用負担で実行するものだ。直接的なデータ窃取とは異なるが、クラウド利用料金の急増という実害が発生し得る。
同社はGENIEE MAの対象サービスでは個人情報・機密情報を取り扱っておらず、漏えいは確認されていないとしている。ただし業績への影響は精査中であり、重大な影響が確認された場合は改めて公表する方針だ。原因となった侵入経路の特定調査は緊急対策チームが継続中。
中小企業への影響・教訓
自社でSaaSツールを導入している企業は少なくない。今回のように「SaaSベンダー側が攻撃を受ける」ケースでは、利用企業側でできることは限られるが、ゼロではない。特にクラウドサービスのアクセス権管理(退職者アカウントの即時削除・多要素認証の徹底)と、異常な利用料金の請求が来た際の対応フローを整えておくことが重要だ。また本件では個人情報の漏えいはなかったが、ツール内に重要情報を格納していた場合は被害が拡大していた可能性がある。SaaSツールに格納するデータの種類と権限設計を見直す機会にしてほしい。
推奨対応
- 利用中のSaaS・クラウドサービスのアカウント一覧を棚卸しし、退職者や不要アカウントを即時無効化する
- 全クラウドサービスに多要素認証(MFA)を設定する。特に管理者権限アカウントは最優先
- クラウドサービスの月次利用料金を前月比で確認し、急増があれば原因を調査する(クリプトジャッキング検知の簡易手段)
- SaaSツールのベンダーからのセキュリティ通知を受け取れるよう、通知先メールアドレスを最新の状態に保つ
編集部まとめ
今週の3件には共通した構図がある。「入口は小さな穴(ECサイトの不正アクセス・VPN脆弱性・SaaSアカウント)、被害は大きく広く」だ。中小企業でも委託先・利用ベンダーを通じて大規模インシデントの当事者になり得る。今日できる一歩は、VPN機器のアップデート確認とクラウドアカウントのMFA設定だ。まずここから着手してほしい。
参考情報
- ユニバーサルミュージック公式発表(2026年5月18日)
- INTERNET Watch:ユニバーサルミュージック、ECサイトへの不正アクセスで約310万件の個人情報が流出
- ITmedia NEWS:ユニバーサルミュージック、ECサイト利用者310万人の個人情報漏えいを確認
- INTERNET Watch:新日本検定協会、ランサムウェア攻撃による情報流出のおそれを発表
- ITmedia NEWS:ランサム攻撃で個人情報3万件流出か 貿易貨物の検査機関・新日本検定協会
- 株式会社ジーニー公式発表:GENIEE MAへの不正アクセスに関するお知らせ(2026年5月21日)
- セキュリティ対策Lab:ジーニーはGENIEE MAに不正アクセス、個人情報・機密情報への漏洩は確認されず
