AI音楽Suno流出|YouTube201万曲を無断学習か

伊東雄歩
監修者 伊東 雄歩

株式会社ウォーカー CEO。東北大学卒。MENSA会員、JDLA認定講師、健全AI教育協会理事。生成AI×教育・学習科学を専門とし、2億円超のシステム開発プロジェクトを統括。

taolis.net X note Voicy YouTube
  • AI音楽生成サービス「Suno(スノ)」がハッキング被害を受け、社内ソースコードが流出しました
  • 流出資料から、YouTube Musicなどから大量の楽曲を無断で集めていた疑いが表面化しました
  • 侵入の入口は「Shai-Hulud」というnpmワームを使ったサプライチェーン攻撃でした
  • 顧客数十万人分のメールアドレス・電話番号・決済情報にもアクセスされた可能性があります
  • この流出は、レコード会社との著作権裁判にも大きな影響を与えそうです

「AIで作った曲は、いったい何を学んで生まれているの?」と気になったことはありませんか。2026年7月、その裏側を一気にのぞかせる出来事が起きました。人気のAI音楽サービスが不正アクセスを受け、社内の設計図が外に漏れたのです。この記事を読むと、何が流出したのか、私たちユーザーに何のリスクがあるのか、そして日本の音楽づくりにどう関わるのかがわかります。

何が起きたのか?Suno流出事件のあらまし

2026年7月15日、複数の海外メディアが大きなニュースを報じました。

AI音楽生成サービス「Suno(スノ)」が、ハッカーに社内ソースコード(プログラムの設計図)を盗まれたという内容です。

Sunoは、文字を打つだけで歌入りの曲を自動でつくれるサービスです。世界で200万人の有料会員がいると言われています。

今回盗まれたのは、そのSunoが「どこから音楽データを集めていたか」がわかる資料でした。

つまり、AIの「教科書」の中身がバレてしまったのです。これは会社にとって、最も見られたくない部分でした。

流出資料が示す「無断学習」の中身

盗まれたソースコードの中には、データの集め先を示すメモが残っていました。

そこには「youtube_music」「deezer」「genius」といった、有名な音楽サービスの名前が並んでいたのです。

数字で見る、集められた楽曲の量

報道された数字は、けた違いでした。

  • YouTube Musicから約201万曲(時間にして11万3879時間分)
  • Deezerから1万2287時間分
  • 歌詞サイトGeniusから1万7615時間分
  • 素材サイトPond5から6万2117時間分
  • さらに約42万本のポッドキャストから、およそ100万時間分の音声

これらの多くは、権利者にきちんと許可を取っていなかった疑いがあります。いわゆる「無断学習」です。

音楽配信サービスの利用規約では、曲を勝手にダウンロードして再利用することは禁じられています。今回のデータは、その線を越えていた可能性を示しています。

侵入の入口「Shai-Hulud」サプライチェーン攻撃とは

では、ハッカーはどうやって社内システムに入り込んだのでしょうか。

使われたのは「Shai-Hulud(シャイ・フルード)」というnpmワームでした。

npm(エヌピーエム)とは、プログラマーが部品となるプログラムを共有する巨大な倉庫のようなものです。世界中の開発者が毎日使っています。

ワームとは、自分でどんどん増えて広がる悪いプログラムのことです。

「サプライチェーン攻撃」の怖さ

今回の手口は「サプライチェーン攻撃」と呼ばれます。

これは、標的の会社を直接狙うのではなく、その会社が使っている「部品」に毒を仕込む攻撃です。

信頼して取り込んだ部品が、実は感染していた。そんな流れで被害が広がります。

Shai-Huludは2025年11月ごろから大流行し、2万5000以上の悪意あるリポジトリ(プログラム置き場)をばらまいたとされます。Sunoの社員も、この波にのみ込まれてしまいました。

ワームは社員のGitHubやクラウドのログイン情報を抜き取り、そこから社内の奥深くへと侵入したのです。

顧客データも流出?私たちユーザーへのリスク

今回の事件で見逃せないのが、ユーザー情報への影響です。

報道によると、ハッカーは数十万人の顧客データにもアクセスできたとされています。

具体的には、次のような情報が対象でした。

  • メールアドレス
  • 電話番号
  • 決済サービスStripe(ストライプ)に登録されたクレジットカード情報の一部

登録の仕方によって、どこまで漏れたかは人それぞれです。

気になるのは、Sunoが2025年11月に侵入に気づきながら、顧客に通知していなかった点です。

もしあなたがSunoを使っているなら、パスワードの変更と、身に覚えのない請求がないかの確認をおすすめします。

Sunoの公式見解と、著作権裁判への影響

Sunoはこの件について、報道各社にコメントを出しています。

会社側の説明は「限定的なセキュリティ事案で、すぐに封じ込めた」というものです。

さらに「流出したのは、今は使っていない古いソースコードで、重要な個人情報は漏れていない」と主張しています。

裁判の「証拠」になってしまった流出資料

ただ、タイミングが最悪でした。

いまSunoは、大手レコード会社ユニバーサル ミュージック グループ(UMG)などから著作権侵害で訴えられている最中です。

これまで権利者側は「Sunoが無断で楽曲を学習しているはずだ」と主張してきました。あくまで推測でした。

ところが今回の流出で、その推測を裏づける内部資料が現実の証拠として表に出たのです。

弁護士の頭の中にあった仮説が、そのまま書類になった。裁判の行方を左右しかねない出来事です。

競合Udioとの比較と、AI音楽業界の現在地

AI音楽の世界には、Suno以外にも有力なサービスがあります。代表格が「Udio(ユーディオ)」です。

両者はよく比較されるので、特徴を整理してみましょう。

  • Suno:歌声(ボーカル)の自然さに強い。有料会員200万人規模で業界トップクラス
  • Udio:ジャンルの再現度や音質に定評があり、48kHzステレオ出力に対応
  • Soundraw(サウンドロー):日本発。動画クリエイター向けBGM生成で人気

実は、著作権をめぐる動きは業界全体で進んでいます。

UMGやワーナー ミュージックは、SunoやUdioを一度は訴えましたが、2025年に和解した流れもありました。その後はライセンス契約を結び、「合法的に権利者へ対価を払う時代」へ移りつつあります。

今回の流出は、その途上で起きた「過去の負の遺産」とも言えます。きれいに切り替わる前の、古いやり方が表に出てしまったわけです。

日本の音楽業界・クリエイターへの影響

この話は、海の向こうの出来事だと思うかもしれません。でも日本にも深く関わります。

Sunoは日本語の歌詞にも対応しており、国内のクリエイターも多く使っています。

日本語の楽曲も学習対象だった可能性

YouTube Musicには、日本のアーティストの楽曲も数え切れないほどあります。

もしSunoがそこから無断で音源を集めていたなら、日本の楽曲も学習に使われていた可能性は否定できません。

日本では、著作権管理団体のJASRAC(ジャスラック)が、AI時代に合わせたルール作りを進めています。

2026年は、AI音楽の技術とルールが同時に成熟していく節目の年とされます。今回の事件は、その議論をさらに加速させるでしょう。

個人で作曲を楽しむ人も、他人の権利をどう守るかを一度立ち止まって考える機会になりそうです。

よくある質問(FAQ)

Q1. Sunoで作った曲を今後も使っても大丈夫ですか?

作った曲を使うこと自体は、現時点で禁止されていません。ただ、学習データをめぐる裁判の結果によっては、将来ルールが変わる可能性があります。商用利用の場合は、公式の利用規約を最新の状態で確認することをおすすめします。

Q2. 自分の登録情報が漏れたか確認する方法はありますか?

Sunoから個別の通知は出ていないと報じられています。まずはアカウントのパスワードを変更し、登録したメールアドレスに不審な連絡が来ていないか、クレジットカードに不明な請求がないかを確認しましょう。

Q3. サプライチェーン攻撃は、普通のユーザーも狙われますか?

今回の攻撃は、主にプログラム開発者を狙ったものです。一般ユーザーが直接感染することは少ないです。ただ、企業が被害を受けると、その先にいる私たちの個人情報が漏れる形で影響が及びます。

Q4. Sunoは違法なサービスなのですか?

違法と確定したわけではありません。Sunoは「著作物の学習はフェアユース(公正な利用)にあたる」と主張しています。一方、権利者側はこれに反対しており、最終的な判断は裁判に委ねられています。

Q5. UdioやSoundrawなら安全ですか?

今回の流出はSuno固有の事件です。ただ、AI音楽サービス全体が学習データの透明性を問われている点は共通しています。どのサービスも、利用規約と権利まわりの姿勢を確認して使うのが安心です。

まとめ

今回のポイントを振り返ります。

  • AI音楽サービスSunoがハッキングされ、社内ソースコードが流出した
  • 資料から、YouTube Musicなどから大量の楽曲を無断で集めていた疑いが浮上した
  • 侵入の入口は「Shai-Hulud」npmワームを使ったサプライチェーン攻撃だった
  • 顧客数十万人分の連絡先や決済情報にもアクセスされた可能性がある
  • 流出資料は、UMGなどとの著作権裁判で重要な証拠になりうる
  • 日本語の楽曲も学習対象だった可能性があり、国内のルール作りにも影響する

AIサービスを使うときは、便利さだけでなく「そのデータがどこから来ているか」にも目を向けてみてください。まずは自分が使っているサービスの利用規約を、一度読み返すことから始めましょう。

参考文献

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です