2026年1月初旬、TOKYO FMに関して「大量の個人情報が流出した」とする投稿がSNSやダークウェブ上で拡散した。これを受け、TOKYO FMは1月6日、公式サイト上で調査結果を公表し、自社サーバーへの不正アクセスや情報持ち出しの痕跡は確認されなかったとする一方、外部クラウドサービス上に保存されていた一部のユーザー属性情報が流出していた事実を認めた。

同社によると、問題となった投稿を受け、公式サイトの番組投稿フォームおよび2025年9月末まで運営していた音声プラットフォーム「AuDee」について緊急調査を実施した。その結果、いずれのサーバーにおいても不正アクセスやデータ流出の痕跡は確認されなかったという。

一方で、ユーザー統計分析を目的に利用していた外部クラウドサービス上に保存されていたデータの一部について、「何らかの原因で流出していたことが判明した」と説明している。現在も外部クラウド事業者と連携し、原因の詳細調査を進めている。

流出が確認された情報は、分析用に加工されたユーザー属性情報で、ユーザーネーム（ラジオネーム）、性別や年齢、職業種別、居住都道府県、番組への投稿メッセージ本文などが含まれる。また、ユーザーネーム欄などにメールアドレスを記載していた一部のケースでは、メールアドレスが含まれていた可能性があるという。

一方、氏名や住所、電話番号、ログインパスワード、クレジットカード情報といった機密性の高い個人情報は含まれていないとしている。なお、地上波ラジオ番組のメッセージフォームに投稿された情報は、今回の流出対象には含まれていない。

これに対し、ダークウェブ上ではハッカーを名乗る人物が「Tokyo FM Database」と題した犯行声明を公開し、約316万件超のレコードを保有していると主張している。声明では、TOKYO FMに対して数週間にわたり脆弱性を警告していたものの対応がなかったため、データを公開したとしている。

投稿には、データベース構造やサンプルとされる情報の一部が掲載され、ユーザーエージェントやIPアドレス、投稿内容、属性項目名などが確認できるとされる。ただし、これらのデータがTOKYO FMの管理下にあるサーバーから直接取得されたものかどうかについては、第三者による客観的な検証は行われていない。

TOKYO FMは、一部のユーザーについてメールアドレスが含まれていた可能性があることから、同社や番組、旧「AuDee」を装ったフィッシング詐欺やなりすましメールへの注意を呼びかけている。不審なURLや添付ファイルを含むメール、個人情報の入力やログインを求める案内を受け取った場合は、リンクを開かず削除するよう注意を促している。

引用元記事：https://rocket-boys.co.jp/security-measures-lab/tokyo-fm-cyberattack-potential-personal-data-breach-3-16-million-records/