📑 目次
大手音楽生成AI企業Suno(スーノ)が、2025年11月に発生していたハッキングを通じて、学習データの収集手法を暴露される事態に陥った。米国の調査報道メディア404 Mediaは2026年7月、ハッカーから提供された情報をもとに、Sunoがユーチューブミュージックやディーザー、ジーニアスなど複数のサービスから数十年分の音源データを収集していたと報じた。この情報は米テッククランチが2026年7月15日に報じたもので、Suno社は同時に流出した顧客の個人情報についても被害者に通知していなかったことが分かった。AIによる音楽生成の是非をめぐる法廷闘争が続く中、内部データの流出はSuno社の主張の信頼性そのものを問い直す材料になる。
Sunoの内部情報が流出した経緯
今回の情報流出は、2025年11月に発生したサプライチェーン攻撃が起点になった。テッククランチの報道によると、攻撃者はSuno社の従業員の認証情報を盗み取り、そこからソースコードへの不正アクセスを実現した。ハッキング自体は2025年11月に起きていたが、その詳細が公になったのは2026年7月になってからだ。
ハッカーは盗んだ情報の一部を404 Mediaに提供した。404 Mediaの報道によれば、Sunoは「ユーチューブミュージック、ディーザー、ジーニアス、ストック音楽ライブラリ、ポッドキャストのRSSフィード」から数十年分にわたるオーディオデータを収集していたという。これらのソースからスクレイピングされたデータが、Sunoの楽曲生成モデルの学習に使われていた可能性が浮上した。
顧客データも同時に流出していた
今回のハッキングでは、Sunoが保有していた学習データの出所だけでなく、顧客の個人情報にもハッカーの手が及んでいた。具体的には、顧客のメールアドレスや電話番号に加え、決済代行サービスStripeに登録された部分的なクレジットカード番号までもが流出したと報じられている。
問題なのは、Suno社がこの2025年11月の侵害について顧客に通知していなかった点だ。同社はこの事案を「迅速に対応された限定的なセキュリティインシデント」と説明しているが、少なくとも本人への告知がないまま8カ月以上が経過してから外部の報道で発覚した形になる。個人情報の管理体制についても、あらためて説明責任が問われる展開だ。
フェアユース主張とレコード会社との訴訟のさなかでの発覚
Suno社はこれまで、「公開されている音楽ファイル」を学習に使うことは、米著作権法上の「フェアユース(公正使用)の法理」に該当すると主張してきた。一方で、Sony Music EntertainmentやUniversal Music Group、Warner Recordsといった大手レコード会社は、2024年6月からSunoを著作権侵害で提訴している。米CNBCの報道によれば、原告側は1曲あたり最大15万ドル(日本円で約2,300万円)の損害賠償を求めており、対象曲数によっては請求総額が数十億ドル規模に膨らむ可能性がある。
今回のハッキングで明らかになったスクレイピング先の詳細は、この訴訟の争点そのものと重なる。YouTubeミュージックやDeezerなどのプラットフォームは、いずれも第三者による無断のデータ収集を利用規約で禁じている。Suno社が「公開されている」ことを根拠にフェアユースを主張しても、収集元のサービス自体が禁止行為だとみなせば、この主張は揺らぎかねない。
この種の「学習データの出所」をめぐる係争は、Sunoに限った話ではない。画像生成AIや大規模言語モデルの分野でも、学習データに著作物が無断で含まれていたとする集団訴訟が相次いで提起されている。生成AIサービスの多くが、モデルの内部構造や学習元データを企業秘密として非公開にしているため、外部からの検証が難しいという構造的な課題が背景にある。今回はハッキングという偶発的な出来事がなければ、Sunoの学習データの実態は表に出なかった可能性が高い。
ビジネスパーソンにとってのSo What ― 生成AIサービス選定のリスク
この一件は、AI音楽生成サービスを自社のマーケティングや動画制作に使う企業にとって見過ごせない教訓を含む。学習データの出所が不透明なAIサービスを利用した場合、生成物が第三者の著作権を侵害するリスクを利用者自身が負う可能性があるからだ。実際、YouTubeやSpotifyなど大手プラットフォームは近年、AI関連のコンテンツポリシーを次々と見直しており、Meta、Instagram「Muse Image」撤回 批判受けのように、権利者からの批判を受けてサービスそのものを取り下げる事例も出ている。企業の法務・コンプライアンス部門にとっては、契約前にAIベンダーの学習データポリシーやセキュリティ監査体制を確認する重要性が増している。
加えて、今回はセキュリティ面での教訓も無視できない。サプライチェーン攻撃によって従業員の認証情報が盗まれ、そこから機密性の高いソースコードや顧客データにまでアクセスされた構図は、AIが自律実行した初のランサムウェア「JadePuffer」のケースとも重なる。AI関連企業がサイバー攻撃の主要な標的になりつつある現状で、取引先としてAIベンダーを選ぶ際は、学習データの透明性だけでなくセキュリティ体制も評価基準に加える必要がある。
Udioも同様の疑惑、今後の展望
Sunoと並んで名前が挙がったのが、競合のAI音楽生成サービスUdio(ユーディオ)だ。今回のハッキングに関する報道の中で、ハッカーはUdioについても同様にYouTubeのデータを無断で収集していたと主張している。UdioもSunoと同じく、2024年6月からレコード会社に著作権侵害で提訴されている当事者であり、業界全体で学習データの透明性が問われる局面に入ったと言える。
Suno社は今後、顧客への説明責任と、進行中の訴訟への対応という二つの課題に同時に向き合うことになる。ハッキングによって偶発的に暴露された学習データの実態が、法廷での主張にどう影響するかは今後の焦点になる。生成AIサービスを提供する企業各社にとっても、学習データの出所を事前に開示する透明性の確保が、今後より強く求められる可能性がある。
まとめ
Sunoのハッキング事件は、AI音楽生成サービスの学習データをめぐる不透明さと、企業のセキュリティ管理体制の甘さという二つの問題を同時に浮き彫りにした。フェアユースを主張する同社と、著作権侵害を訴えるレコード会社との法廷闘争は、今回の情報流出を受けてさらに注目を集めそうだ。
参考・出典
📚 関連書籍を Amazon で探す
広告: Amazon アソシエイトプログラムによるリンクです
- 📚 AIガバナンス・倫理・法務 →
EU AI Act、PL法、リスクマネジメント関連。
- 📚 AI法務の実務 →
AI 時代の契約・知財・プライバシー。













