AI作曲サービスSunoがハッキングされ、学習データの内部実態が明らかになりました。
米国時間2026年7月15日、404 Mediaは、AI音楽生成サービスを運営するSunoが不正アクセスを受け、ハッカーから提供された内部資料により、同社がYouTube Musicなど複数のサービスから大量の音源を収集していた実態が判明したと報じました。YouTube由来のデータだけで合計約26万時間分に達するとされ、AIの学習データをめぐる透明性の議論に一石を投じる内容です。本記事は、EC支援19年・5,000社超の実績を持ち、AI導入支援は2023年から提供する株式会社オルセル(うるチカラ運営)が解説します。
Sunoに何が起きたか|ハッカーが学習データの内部資料を持ち出し
結論から言うと、ハッカーは2025年11月のサプライチェーン攻撃で従業員の認証情報を入手し、Sunoのソースコードと顧客データにアクセスしていました。TechCrunchによると、ハッカーが持ち出した2023年から2024年ごろのソースコードには、音源収集(スクレイピング)の指示や収集規模を示す記述が含まれていたとされます。
404 Mediaが確認した資料では、収集元としてYouTube Music、Deezer、Genius、ストック音源ライブラリのPond5、Jamendo、Freesound、楽譜アーカイブのIMSLP、そしてポッドキャストのRSSフィードが挙げられています。あるファイルには「youtube_music」から201万3,545本の音楽クリップを取り込んだと記録されており、データセット別の内訳としてyoutube_musicが11万3,879時間、ytm_taggedが15万2,162時間、Pond5が6万2,117時間、IMSLPが1万9,514時間、Geniusが1万7,615時間、Deezerが1万2,287時間などの数字が並んでいたと報じられています。YouTube系の2つを合計すると約26万時間、年数に換算して数十年分に相当する規模です。
さらにハッカーは、数十万人規模の顧客のメールアドレス、電話番号、決済サービスStripe上のクレジットカード番号の一部にもアクセスできたと主張しています。TechCrunchによると、Sunoは2025年11月の侵害を顧客に通知しておらず、「迅速に封じ込めた限定的なセキュリティインシデント」だったと説明しているとのことです。
なぜ重要か|「公開データ学習」の中身が初めて数字で見えた
このニュースの重要性は、AI企業が主張してきた「公開されている音楽ファイルで学習した」という説明の具体的な中身が、数字付きで外部に出た点にあります。Sunoは大手レコード会社との訴訟のなかで、オープンなインターネット上でアクセスできる「実質的にすべての妥当な品質の音楽ファイル」、数千万件規模の録音で学習したことを認めてきました。同社が公開しているカリフォルニア州AB 2013法に基づく開示文書でも、2023年春からの継続的なデータ収集と、著作権保護の対象となりうる楽曲が学習データに含まれることを明記しています。
一方で、全米レコード協会(RIAA)はSunoがYouTubeから直接音源を抜き取ったと訴えており、404 Mediaは今回のハッキングデータがこの主張を裏付けるものだと指摘しています。訴訟では、YouTubeのスクレイピング対策を意図的に回避する行為がデジタルミレニアム著作権法(DMCA)違反にあたるかが争点の一つで、フェアユース(公正利用)を主張するSuno側との対立軸が鮮明になっています。訴訟の一部はすでに和解が成立しており、今回の流出が残る訴訟の行方にどう影響するかが注目されます。競合のUdioも同様にYouTubeからのデータ収集疑惑を指摘されているほか、YouTubeの親会社であるGoogle自身も大手出版社から書籍の学習利用をめぐる訴訟を起こされており、業界全体の構造的な問題と言えます。
もう一つの論点は、インシデント開示のあり方です。ハッカーの主張が事実であれば、顧客の連絡先や決済関連情報に第三者がアクセスできた状態で約8カ月間、利用者への通知が行われなかったことになります(被害の正確な範囲は要確認)。AIサービスの選定において、モデルの性能だけでなく、事業者のセキュリティ体制と開示姿勢を評価軸に加えるべきだという教訓を残しました。
今後の動き|訴訟・開示規制・利用者への影響
今後の焦点は3つあります。第一に、レコード業界との係争中の訴訟で、流出したソースコードの記述が証拠としてどう扱われるかです。第二に、カリフォルニア州AB 2013のような学習データ開示規制が他の州や国に広がるかどうかです。日本でも文化庁がAIと著作権の整理を継続しており、海外の判例や規制の動向は国内のルール形成に影響します。第三に、Sunoの顧客情報がどこまで流出したのかの続報です。同社は現時点で詳細な被害範囲を公表しておらず、利用者は今後の発表を注視する必要があります(要確認)。
EC事業者への示唆も一言添えます。商品プロモーション動画やSNSショート動画のBGMにSunoなどのAI作曲ツールを使う店舗は増えていますが、生成物の権利関係は各サービスの利用規約と係争の行方に左右されます。有料プランで商用利用が認められていても、学習データをめぐる訴訟の結果次第では条件が変わる可能性もゼロではありません。広告や商品ページなど長期間使い続ける素材については、利用時点のプラン内容と規約を記録に残しておくことが実務的な防衛策になります。
まとめ
Sunoへのハッキングにより、YouTube由来の音源だけで約26万時間という学習データの実態と、2025年11月の顧客情報への不正アクセスが明らかになりました。AI学習データの透明性とインシデント開示の両面で、AI業界全体に問われる論点を含むニュースです。AIツールを業務利用する側も、性能だけでなく事業者の姿勢を見きわめる視点を持ちたいところです。
関連記事として、DeezerのAI楽曲検出の取り組み、SpotifyとUMGのAIカバー楽曲ライセンス合意、ハリウッドのAI動画規制とECの映像著作権リスクもあわせてご覧ください。
参考文献
- 404 Media: Hack Reveals Suno AI Music Generator Scraped YouTube, Deezer, and Genius
- TechCrunch: Hack suggests AI music generator Suno scraped YouTube for training data
- Suno: CA AB 2013 Disclosure(学習データに関する公式開示文書)
※うるチカラでは、生成AIの導入支援から運用最適化まで、貴社のEC事業に合わせたカスタマイズ提案を行っています。無料相談(30分)も実施中ですので、お気軽にお問い合わせください。
https://uruchikara.jp/contact/
引用元: TechCrunch
【監修】齋藤竹紘(株式会社オルセル代表 / 19年・5,000社のEC支援実績)

株式会社オルセル代表取締役 / うるチカラ編集長。19年・5,000社以上のEC支援実績を持ち、楽天市場・Amazon・Yahoo!ショッピング・Shopify・Shopee越境ECの実装ノウハウを保有。AI×ECに関する書籍を3冊執筆。「現場で使えるAI実装」を一次情報として発信しています。