生成型AI音楽プラットフォームのSunoが重大なセキュリティイベントに見舞われ、内部のソースコードおよびデータ収集情報が漏洩しました。その中には、SunoがAI音楽モデルを訓練するために大規模なデータ収集を行っていたことが明らかになっています。漏洩したファイルによると、SunoはYouTube Music、Deezer、Geniusなどのプラットフォームから自動プログラムを通じて大量の音楽、歌詞、およびオーディオ素材を取得していたことが確認されています。
報道によると、この出来事は2025年末に発生しました。ハッカーの「ellie.191」という人物がサプライチェーン攻撃によってSunoの従業員の認証情報を入手し、さらには企業内の内部ファイルを盗み出しました。その中には、200万以上のYouTubeビデオセグメントを含むファイルが注目を集めました。また、漏洩したデータによると、SunoのクローラーシステムはGeniusから1万7千時間以上の歌詞データを取得し、Deezerから1万2千時間以上の楽曲コンテンツを取得し、Pond5から6万2千時間以上のオーディオ素材を取得していました。関連するコードには、非音楽ファイルを排除するためのフィルタリングメカニズムも含まれており、トレーニングデータの質を保証しています。

今回の漏洩により、Sunoが直面している著作権訴訟の圧力がさらに強まる可能性があります。米国レコード産業協会(RIAA)は以前から环球音楽、ソニー音楽、ワーナー音楽などのレコード会社を代表してSunoを提訴しており、その理由として、著作権で保護された音楽を未承諾でAIモデルの訓練に使用したことを指摘しています。Sunoはこれまで主に「適正使用」の原則に基づいて防衛していましたが、公開ネットワーク上のデータはAIトレーニングに利用可能であると考えていました。しかし、漏洩したコードの中には、データ収集プロセスが記録されており、著作権所有者にとって新たな証拠となる可能性があります。
ソースコードだけでなく、ハッカーは一部のユーザーのデータベース情報も取得しました。それは電子メールアドレスや電話番号、Stripeを通じて処理された一部のクレジットカードのメタデータを含んでいます。Suno側は、今回の事件を「限られたセキュリティイベント」としており、一部の古くなったコードに関係するものであり、完全なクレジットカード番号は漏洩していないため、ユーザーに対して主動的に通知していません。
AI企業のトレーニングデータの取得源が業界の規制の焦点になっている今、Sunoの出来事は生成型AIの発展において、データ取得の合規性、著作権の許諾、そしてユーザーのプライバシー保護の間の複雑な課題を再び浮き彫りにしています。
