昨年秋、レコード会社は「SunoがYouTubeから楽曲を抜き取った」と法廷で訴えました。ただし、それはあくまで原告側の主張でした。ところが今回、その裏づけになりかねない材料を差し出したのは、原告でも捜査当局でもなく、Sunoに侵入した一人のハッカーだったのです。
2026年7月15日、技術メディア404 Mediaが、生成AI音楽サービスSunoのハッキング被害を報じた。同メディアによれば、ハッカー「ellie.191」がShai-Huludワームで従業員の認証情報を窃取したと説明し、2023〜2024年のものとみられるソースコードと数十万人分の顧客情報を入手したとされる。流出したとされるコードには、YouTube Music 2,013,545クリップ(113,879時間)、Deezer 12,287時間、Genius 17,615時間、Pond5 62,117時間、Jamendo 3,726時間、IMSLP 19,514時間、Freesound 410時間などの収集記録が含まれていたと同メディアは報じている。
YouTubeからの収集にはBright Dataが使われ、PodcastIndexで特定した約42万番組から約100万時間分のポッドキャストのダウンロードが試みられたとされる。顧客情報にはメールアドレス、電話番号、Stripeの支払い情報の一部が含まれたと報じられた。Sunoは2025年11月の限定的なセキュリティインシデントだったと認め、流出は使われていない古いソースコードが中心で、個別通知は不要と判断したと説明している。Sunoは学習データがオープンなインターネット上でアクセス可能な音楽ファイルを事実上すべて含むと過去の裁判資料で述べ、フェアユースにあたると主張している。
Sunoは、RIAAが主導する訴訟でUniversal Music Group系・Sony Music Entertainment系のレコード会社から著作権侵害で提訴されている。提訴時に原告だったWarner Music Group系企業は、2025年11月に和解して離脱した。Sunoは2026年6月に4億ドル超を調達し、ポストマネー評価額は54億ドルとされる。
From:
Hack Reveals Suno AI Music Generator Scraped YouTube, Deezer, and Genius
From:
ANSWER OF DEFENDANT SUNO, INC. TO COMPLAINT(UMG Recordings, Inc. v. Suno, Inc./1:24-cv-11611-FDS)
【編集部解説】
今回の一件は、「情報漏えい事件」として片づけると本質を見誤ります。これは、セキュリティの穴から流れ出たとされる情報が、そのまま著作権裁判の“材料”になりうる、という珍しい事案だからです。
Sunoは以前から、著作権のある音楽で学習していること自体は否定していませんでした。裁判資料のなかで、学習データが「オープンなインターネット上でアクセス可能な音楽ファイルを事実上すべて含む」と自ら述べ、それでもフェアユース(公正利用)にあたると主張してきたのです。
解説上の焦点として私が注目したいのは「どこから、どうやって集めたか」という点です。仮に公開された音源を広く学習しただけなら、フェアユースの検討対象として議論できます。しかし、YouTubeの保護技術を回避して楽曲を引き抜いていたとなれば、フェアユースの議論とは別に、米デジタルミレニアム著作権法(DMCA)の「技術的保護手段の回避」という独立した論点が加わります。
RIAA(全米レコード協会)が主導し、原告のレコード会社側は、まさにこの「YouTubeからのストリーム・リッピング」を、修正訴状案とその提出許可を求める申立てのなかで主張しています。404 Mediaによれば、今回流出したとされるコードには、YouTubeからの収集にBright Dataのプロキシを使った記述があったとされます。もしこれが事実なら、YouTubeが収集元だったという原告側の主張を補強する材料になり得ます。ただし、プロキシの使用だけで保護技術の回避やDMCA違反が立証されるわけではありません。それでも、これまで主張の域にあった内容に、Suno社内の文書という裏づけが加わる意味は小さくないと私は考えます。
ここで、私がもうひとつ注目したいのが、侵入の入り口です。
ハッカーが使ったと説明したとされる「Shai-Hulud」は、2025年に確認された、npm(プログラム部品の配布基盤)を狙う自己増殖型のワームです。とりわけ2025年11月には、開発者の認証情報を自動で盗み、GitHubやクラウドの鍵を次々と奪って増殖する「第2波」が広がりました。Sunoが被害を把握したとされる2025年11月は、この第2波の拡大時期と重なります。ただし、Sunoも第三者調査機関も、両者の因果関係を公には認めていません。
つまり、これはSunoが名指しで狙い撃ちにされた事件とは限らない、と私は見ています。ハッカー本人が「特別な動機はなかった」「何でもハッキングするのが好きだ」と語ったとされる点も示唆的です。開発現場で当たり前に使われる部品の“供給網”を経由した、広範な攻撃の一部だった可能性が考えられます。
この視点は、私たち作り手にとって他人事ではありません。どれほど優れたAIを開発していても、たった一つの部品、一人の開発者の認証情報が入り口になれば、広範囲の内部情報に到達されうる。しかも今回は、その“内部”とされるものが訴訟の争点そのものに関わっていたわけです。
一方で、慎重に見るべき点も残ります。Sunoは流出したコードを「すでに使っていない古いもの」と説明しています。仮にこれが本当なら、現在の学習パイプラインが当時と同じ規模・同じ手法かどうかは、この漏えいだけでは分かりません。
フェアユースをめぐっては、これまでの主要な判断がAI開発側に有利に傾いた例もあるものの、いずれも個別の事情に即した限定的なものでした。生成された楽曲が学習元と市場で競合するという、Suno特有の論点については、米国の本件訴訟ではまだ判断が下されていません。断定するには早い、というのが正直なところです。
それでも、この事件が投げかける長期的な問いは重いと感じます。消費者向けプラットフォームから大量にデータを集めて育ったAIは、AIに限らず、その取得過程について、コードやログ、設定、契約資料などに何らかの痕跡が残る可能性があります。今回のように、一度の漏えいや訴訟上の開示手続きによって、それが表に出る場面が現実味を帯びてきました。
「集めてしまえば、あとは司法判断を待つか、罰金を払えばいい」——生成AIの世界に一部あったとされるこの発想は、これから静かに、しかし確実に見直しを迫られていくのかもしれません。これは事実の報告というより、一人の書き手としての私の見立てです。
【関連記事】
Suno AIがストリームリッピング疑惑 RIAA修正訴状でYouTube技術的保護措置回避を主張
今回の流出データが裏づけうる、原告側のDMCA回避主張。stream-rippingとrolling cipherという争点の前提を押さえられる一本。
Suno、訴訟中に評価額54億ドルへ|投資家が「勝ち」と見る構図をクリエイターが「奪われている」と見る理由
評価額54億ドル・4億ドル調達という数字の背景。訴訟の渦中で膨らむ企業価値を読み解く。
Suno「Spark」がインディーアーティストに資金提供|評価額54億ドル、訴訟の渦中で進む囲い込み
「学習メタデータにアーティスト名は含めない」という、今回と同じSunoの設計論法が登場する。
Warner Music GroupとSunoがAI音楽で提携──アーティストの声とライクネスをどう守り、どう稼ぐか
2025年11月にWarnerが和解・離脱した経緯。訴訟からライセンスへ転じる潮目を伝える。
【編集部後記】
見落とせないのは、この材料の出どころです。レコード会社が長い係争のなかで手に入れられなかった内部の記録を、外から侵入した第三者が数分の作業で持ち出し、報道機関に手渡しました。もし訴訟でこのデータが使われるなら、企業の主張の正しさは、皮肉にも「その企業を破った攻撃者」の手つきに一部支えられることになります。
不正に得られた情報は、法廷でどこまで証拠として扱えるのか。真正性や取得経路をめぐる争いは、これから本格化します。Sunoが公開してこなかった学習の履歴が、こういう形で世に出る時代に入った——その入り口に、私たちは立っているのかもしれません。
【用語解説】
Suno(スーノ)
テキストからの指示で楽曲を自動生成する、生成AI音楽サービスである。歌声・演奏・歌詞を含む楽曲を短時間で出力できる点で知られ、主要な生成AI音楽サービスの一つとされる。
404 Media(フォー・オー・フォー・メディア)
4人の技術ジャーナリストが設立した米国の独立系デジタルメディアである。ハッキングやAI、監視などの調査報道を扱う。今回のスクープの発信元だ。
Shai-Hulud(シャイ・フルード)
2025年9月に確認された、npmを標的とする自己増殖型のワーム(不正プログラム)である。開発者の認証情報を自動で盗み、GitHubやクラウドの鍵を奪って次々と拡散する。同年11月には、より攻撃的な第2波が広がった。名称は小説『デューン』の砂の巨大生物に由来する。
npm(エヌ・ピー・エム)
JavaScriptのプログラム部品(パッケージ)を配布・共有する、世界最大級のソフトウェアレジストリである。多くの開発現場で日常的に使われるため、供給網(サプライチェーン)を狙う攻撃の標的になりやすい。
サプライチェーン攻撃
最終的な標的を直接狙わず、その企業が利用する部品やツール、取引先など「供給網」の弱点を突いて侵入する攻撃手法である。Shai-Huludのように、広く使われる開発部品を経由して被害が連鎖することがある。
スクレイピング
ウェブサイト上のデータを、プログラムを使って自動的に収集する行為である。AIの学習用データを集める手段として使われる。違法性は一律ではなく、利用規約や保護技術、取得対象などとの関係で法的な争点になりやすい。
ストリーム・リッピング(stream-ripping)
ストリーミング再生のみが想定された音源を、ダウンロード制限を回避して手元に保存する行為を指す。無許諾の保護音源を取得する場合は侵害手法になり得るとされ、原告側はSunoがこの方法でYouTubeから楽曲を取得したと主張している。
ローリング・サイファー(rolling cipher)
YouTubeが用いる暗号化の仕組みとされ、原告側は、動画ファイルの所在を隠し無断ダウンロードを防ぐアクセス制御だと主張している。これを回避する行為がDMCA上の「技術的保護手段の回避」にあたるかは、法的・技術的に争われ得る。
DMCA(デジタルミレニアム著作権法)
米国の著作権法で、著作物を保護する技術的手段の回避などを禁じている。通常の著作権侵害やフェアユースの成否とは区別される、独立した論点を生む。
フェアユース(公正利用)
著作権者の許諾がなくても、一定の条件下で著作物を利用できる米国著作権法上の考え方である。目的・性質、著作物の性質、使用量、市場への影響という4要素で総合的に判断され、AIの学習をめぐる司法判断はまだ定まっていない。
【参考リンク】
Suno(外部)
テキスト指示から楽曲を生成するAI音楽サービスの公式サイト。ブラウザやアプリで曲づくりを試せる。
404 Media(外部)
今回のスクープを報じた米国の調査報道メディアの公式サイト。独自取材記事を配信している。
RIAA(全米レコード協会)(外部)
米国主要レコード会社の業界団体の公式サイト。Suno訴訟を主導・支援している。
Universal Music Group(外部)
世界最大級のメジャーレコード会社の公式サイト。Suno訴訟の原告側に立つ。
Sony Music Entertainment(外部)
世界的なメジャーレコード会社の公式サイト。UMG系とともにSunoを提訴している。
Bright Data(外部)
プロキシやデータ収集基盤を提供する企業の公式サイト。流出コードでYouTube収集に使われたと報じられた。
Stripe(外部)
オンライン決済を提供する企業の公式サイト。Sunoが決済処理に利用するサービスとされる。
Deezer(外部)
フランス発の音楽ストリーミングサービスの公式サイト。収集元として挙げられた一つ。
Genius(外部)
歌詞や楽曲解説を掲載する米国のサービスの公式サイト。収集元として名前が挙がっている。
Pond5(外部)
ストック音源・映像素材を販売するマーケットプレイスの公式サイト。多くの時間数が記録された。
Jamendo(外部)
クリエイティブ・コモンズ楽曲などを扱う音楽配信サービスの公式サイト。収集元の一つ。
Freesound(外部)
効果音や音素材を共有する共同音素材データベースの公式サイト。収集元として名前が挙がっている。
IMSLP(国際楽譜ライブラリープロジェクト)(外部)
パブリックドメインまたは許諾された楽譜・録音を公開する電子図書館の公式サイト。収集元の一つとされる。
PodcastIndex(外部)
ポッドキャストのオープンな索引を提供するサービスの公式サイト。番組特定に使われたとされる。
【参考記事】
Suno snatched millions of songs from YouTube, Genius, and Deezer(The Verge)(外部)
404 Mediaを引用し、収集記録やBright Data、顧客情報の項目を整理して伝えた報道。数値と手口の裏取りに用いた。
Suno Got Hacked(Pitchfork)(外部)
Sunoの声明とハッカーの発言を引用し、顧客情報の扱いを伝えた報道。Suno側の説明の裏取りに用いた。
Record labels accuse Suno of illegally ‘stream ripping’ music from YouTube(MBW)(外部)
修正訴状案のrolling cipher回避やstream-ripping、請求額を報じた記事。法的文脈の根拠とした。
The Shai-Hulud 2.0 npm worm: analysis, and what you need to know(Datadog Security Labs)(外部)
Shai-Hulud第2波の技術解説。2025年11月の被害把握時期との重なりを論じる根拠とした。
Suno & Udio Sound Fair Use Alarm in Yout vs. RIAA YouTube-Ripper Appeal(TorrentFreak)(外部)
Bartz・Kadrey両判決を整理し、AI学習のフェアユース判断の現状を解説。フェアユース記述の根拠とした。
Warner Music Group and Suno Forge Groundbreaking Partnership(WMG)(外部)
ワーナーが2025年11月にSunoと和解・提携し、訴訟から離脱した経緯を伝える公式発表。当事者記述の根拠とした。












