サイバー攻撃疑惑がSNSで指摘され発覚：TOKYO FM、外部クラウドから「AuDee」投稿データなどが流出

サイバー攻撃疑惑がSNSで指摘され発覚：TOKYO FM、外部クラウドから「AuDee」投稿データなどが流出

2026年年初、SNS上に「TOKYO FMのサーバーがサイバー攻撃を受け、大量の個人データが流出した」という指摘が拡散しました。これを受けてTOKYO FMは事実確認のため緊急調査を実施し、その結果、自社が運用するサーバーには不正アクセスや情報持ち出しの痕跡が確認されませんでした。しかし一方で、ユーザー統計分析に利用していた外部クラウドサービス上のデータの一部が流出していたことが判明しました。

同社は2026年1月6日にこの情報流出に関する調査結果を公表し、流出したのは音声プラットフォーム「AuDee（オーディー）」の投稿データおよび関連サービス利用者の一部情報であると発表しました。氏名や住所など機密性の高い情報は含まれず、流出したのはラジオ番組投稿用のニックネームや年齢・性別などの属性情報、投稿メッセージ内容などに限られています。本記事では、このTOKYO FMにおける外部クラウドサービスからのデータ流出事件の概要と原因、利用者への影響や再発防止策について詳しく解説します。

音声プラットフォーム「AuDee」とは何か？TOKYO FMが運営していたサービスの概要（2025年9月末で終了）

AuDee（オーディー）とは、TOKYO FMおよびJFN系列局が2020年7月から提供していた音声コンテンツ配信プラットフォームです。スマートフォンアプリやWebサイトを通じて、ラジオ番組のアーカイブやオリジナル音声番組をオンデマンドで聴取できるサービスで、月間利用者数が数百万人規模に達する人気を博していました。特に若年層のユーザーに支持されており、音声メディアの可能性を広げる取り組みとして注目されていました。

AuDeeでは各番組ごとにリスナーからの投稿を受け付けるメッセージフォームが設置され、ユーザーはニックネーム（ラジオネーム）や年齢・性別などのプロフィール情報とともに番組宛てのメッセージを送信できました。このプラットフォームは2025年9月末をもってサービス終了となりましたが、終了時点までに蓄積された投稿データやユーザー属性データは統計分析のために外部クラウド上に保存されていました。

旧「AuDee」の投稿データや番組サービス利用者情報が流出：ラジオネーム・性別・年齢・都道府県などの情報が含まれていた

今回流出が確認された情報は、主に2025年9月末まで運用されていたAuDeeのメッセージフォーム投稿データの一部と、AuDee上のユーザー参加型サービスである「マイスタジオ」など番組関連オンラインサービスのユーザー情報の一部です。これらはTOKYO FMがユーザー分析のために外部クラウド上に保管していたデータで、利用者が投稿時に任意で入力したプロフィール情報やメッセージ内容が含まれていました。

漏洩したデータの内訳：「AuDee」投稿メッセージデータと「マイスタジオ」ユーザー情報などが含まれる

流出した具体的なデータ項目は以下の通りです。

• ユーザーネーム（ラジオネーム等）
• 性別、年齢、職業区分、都道府県 などのユーザー属性情報
• 投稿されたメッセージの本文
• 一部のメールアドレス（※ユーザーネームにメールアドレスを使用していた場合等）

以上のように漏洩した情報はいずれもユーザーが番組投稿やサービス利用時に提供した属性・コンテンツ情報であり、氏名や住所、電話番号、ログインパスワードといった高い機密性を持つ情報は含まれていません（後述）。なお、TOKYO FMの地上波ラジオ番組サイト上で受け付けていたメッセージ投稿の情報は今回の流出対象に含まれていないことも明らかにされています。

なお、流出した件数やユーザー数の規模についてTOKYO FMは具体的に公表していませんが、「一部のデータ」と表現されています。利用者の投稿全体ではなく一部分であるため、漏洩範囲は限定的と見られますが、正確な規模は不明です。

TOKYO FMが情報流出を公表　氏名・住所・電話番号・ログインパスワード・クレジットカード情報など機密情報は含まれず

分析用に加工されたデータのみが流出し、機密性の高い情報は一切含まれていなかった

今回漏洩した情報に含まれる個人情報の範囲は限定的でした。TOKYO FMは公式発表で、漏洩データには氏名・住所・電話番号・ログインパスワード・クレジットカード番号といった機密性の高い情報が一切含まれていないことを強調しています。つまり、外部クラウド上で運用されていた分析用データセットには当初からそのような重要情報を含めておらず、仮にデータが流出しても深刻な被害につながらないよう配慮されていました。

とはいえ、性別・年齢・居住都道府県などの属性情報も組み合わせによっては特定の個人を推測できるため、これらの漏洩も決して軽視はできません。漏洩した情報は「個人情報」に該当するため、TOKYO FMは本件を重く受け止め、関係各所への報告や利用者への周知など必要な対応を講じています。

実際、今回確認された漏洩データはユーザーのラジオネームや投稿内容、年齢・性別などに限られており、個別のユーザーの現実世界での身元（本名や連絡先）や支払い情報が直接流出する事態は避けられました。ただし、後述するようにメールアドレスが一部含まれていたケースもあり、必ずしも完全に匿名化されていたわけではありません。それでも、クレジットカード番号やハッシュ化されたパスワードなどが漏れていない点は、不幸中の幸いと言えるでしょう。

原因は外部クラウドサービスの設定不備か　調査を継続、自社サーバーへの不正アクセス痕跡は確認されていない

2026年1月時点で、自社サーバーへの不正アクセスやデータ持ち出しの痕跡は確認されていないことが分かった

SNSでの指摘を受け、TOKYO FMは自社で運用しているシステムの緊急点検を行いました。対象となったのは、番組投稿機能を含む同社ホームページのサーバーおよび2025年9月まで稼働していたAuDeeのサーバーです。調査の結果、これら自社サーバーには不審な侵入や情報持ち出しの痕跡は一切確認されませんでした。つまり、当初SNS上で騒がれたような「TOKYO FMのサーバーがハッキングされ大量の個人情報が抜き取られた」という事実は確認されなかったことになります。

2026年1月6日現在、原因は判明しておらず、外部クラウドサービス側の設定不備の可能性を事業者と調査中

一方で、ユーザー分析用に利用していた外部クラウドサービス側で何らかの設定不備があり、そこからデータが流出した可能性が高いとみられています。2026年1月6日時点で具体的な原因はまだ特定されておらず、TOKYO FMはクラウドサービス提供事業者と協力して詳細な原因究明を続けています。例えば、クラウド上のデータストレージのアクセス制限設定に誤りがあり、本来非公開であるべき情報がインターネット上から参照可能になっていた、といった構成ミスが疑われます。なお、クラウド設定の誤りによる情報漏洩は他社でも近年しばしば報告されており、人的ミスや設定の複雑さが要因となるケースが多いとされています。TOKYO FMも同様の落とし穴に直面した可能性があり、今後の調査で技術的な原因が明らかになり次第、公表される見込みです。

漏洩により考えられる影響と利用者への呼びかけ：パスワード変更は必要か、フィッシング詐欺への注意喚起など

流出データにログイン情報は含まれず、現時点でパスワード変更の必要性は低い

今回の漏洩によってユーザーのログイン認証情報（メールアドレスやパスワード）が第三者に知られたわけではありません。そのため、現時点でTOKYO FMから特にパスワード変更の呼びかけは行われておらず、利用者が直ちにパスワードを変更する必要は低いと考えられます。漏洩データ中にはログインパスワードやパスワードハッシュが一切含まれていないため、仮に悪意ある攻撃者が入手したとしても、それだけでユーザーアカウントに不正ログインされる恐れはありません。ただし、ユーザー自身が不安に感じる場合は、この機会に任意でパスワードを変更しセキュリティを再確認することは有益でしょう。

TOKYO FMでは、流出情報を悪用したフィッシング詐欺や不審メールへの注意を呼びかけている

一方、TOKYO FMでは今回の件に関連して、フィッシング詐欺など二次被害への注意喚起を行っています。流出したメールアドレス等の情報を悪用し、TOKYO FMや番組を装ってユーザーに連絡を取り、偽のリンクを踏ませようとする詐欺行為が懸念されるためです。同社は「当社あるいは番組を名乗る不審なメールやメッセージを受け取った場合は、ウイルス感染やフィッシングのリスクがあるので開封・アクセスせず直ちに削除してほしい」と案内しています。利用者側でも、もし身に覚えのない送信元から「TOKYO FM」や番組名をかたるメールが届いたら決してリンクをクリックしないよう十分注意が必要です。

現時点で利用者側で求められる対応は主に上記の注意喚起のみに留まっており、パスワード変更などの大規模な措置は不要とされています。TOKYO FMは迅速な情報開示と適切なガイダンスを示すことで、ユーザーの不安解消と信頼維持に努めています。

再発防止策とセキュリティ強化：分析用データ管理の見直しやクラウド運用見直しへ

統計分析用の外部クラウドへの新規データ蓄積を停止し、外部クラウド側の漏洩経路を遮断（既に実施済みと発表）

TOKYO FMは今回の流出が判明した直後、問題の分析用外部クラウドに対する新たなデータの送信・蓄積をただちに停止しました。これにより、当該クラウド上に保存される利用者データはこれ以上増加せず、漏洩経路を速やかに遮断した形です。原因究明が終わるまでの暫定措置ではありますが、まずは追加の情報流出リスクを封じる対応が講じられました。

AuDee終了後もクラウド上に残存していた分析用データを削除し、不要データ管理の徹底へ取り組む方針を表明

また、外部クラウド上に残っていた過去のデータについても整理が行われました。すでにサービスを終了しているAuDeeに関連する古い分析データなど、用途がなくなった不要なデータは削除され、データ管理ポリシーの見直しが図られています。今後はこのように役目を終えたユーザーデータを放置せず適切に処分する運用ルールを徹底し、情報資産の管理体制を強化するとしています。

外部クラウドサービスの運用ポリシー見直しとセキュリティ対策強化の徹底で再発防止に向け取り組む考えを示した

さらに、今回の反省を踏まえて外部クラウドサービスの運用方法や設定ポリシーの全面見直しを行い、セキュリティ対策の一層の強化を徹底する方針が示されています。クラウド上のアクセス権限設定の再点検、不要データの定期削除手順の確立、社内のセキュリティ教育強化など、再発防止に向けた包括的な施策が今後実施される見込みです。TOKYO FMは「引き続き原因究明に努め、再発防止とセキュリティ対策の更なる強化を徹底する」と表明しており、今回の教訓を活かして安全管理体制の再構築に取り組んでいく考えです。同時に、利用者に対して「ご心配をおかけしておりますことを深くお詫び申し上げます」と謝罪し、信頼回復に努める姿勢も示しています。

最後に、本件からエンジニアが学べるクラウドセキュリティ上のポイントを整理します。第一に、外部のクラウドストレージを利用する際はアクセス権限の設定を入念に確認し、公開範囲を限定する原則（リーストプリンシプル）を徹底することが重要です。第二に、サービス終了後のデータは速やかに削除するか匿名化するなど、不要な個人データをいつまでも残さない運用を心がける必要があります。第三に、クラウドサービス提供元とも連携し、設定ミスを検知する監視ツールや定期監査の仕組みを導入しておくとよいでしょう。こうした対策により、たとえ自社サーバーが安全でも周辺システムから情報が漏洩するリスクを大幅に低減できます。