スマートリング「Ultrahuman Ring」を展開するUltrahumanが、2026年3月27日に発生したセキュリティインシデントをユーザーに通知しました。同社のCEO・Mohit Kumar氏がメールで知らせたもので、連絡先や注文履歴などの情報が影響を受けた一方、パスワードや決済関連の情報は対象外だとされています。
何が起きたのか——3月27日に内部分析システムへ不正アクセス
GSMArenaによると、Ultrahumanの創業者兼CEOであるMohit Kumar氏がユーザー宛のメールで、2026年3月27日に「権限のない第三者が、社内分析用に使用していた内部システムに読み取り専用のアクセスを得た」と説明しました。同社は迅速にインシデントを認識し、該当システムをオフラインに切り離したうえで、すべてのアクセスを取り消したとしています。
同氏は、このシステムが設計上「データの改変や削除を許可しない」構造になっており、攻撃のスコープが限定されていたと述べています。また、現時点まで漏洩した情報の誤用に関する証拠は見つかっていないと報告されています。
漏洩した情報・漏洩しなかった情報
CEOのメールでは、影響を受けたデータと受けていないデータが明確に切り分けられています。
| 区分 | 内容 |
|---|---|
| 影響あり | 連絡先・アカウント情報、注文・取引履歴、製品の使用や購入に関連する一部のフィットネス関連データ |
| 影響なし | パスワード、決済情報、クレジットカード情報 |
Mohit Kumar氏は「パスワード、カード情報、決済データは関与しておらず、誤用の証拠も見つかっていません」と強調しています。さらに、ユーザーが使用中のUltrahuman Ring本体は通常通り動作し、ウェルネス情報の記録にも影響はないとしています。
なお、関連報道として、Ultrahuman Ring Proは15日間のバッテリー駆動や改良されたセンサー・処理性能を備える製品として紹介されており、米国での事前予約時には10%の割引が提供されていたとされています。今回のインシデントはあくまで内部分析システムに対するもので、こうした製品自体の機能に影響はないとされています。
Ultrahumanが実施した再発防止策
同社は、影響を受けたシステムをオフラインにしたうえで、以下の対策を順次実施したと説明しています。
- 内部システム全体でのアクセス制御ポリシーの強化(最小権限原則に基づくレビューを含む)
- 従業員端末におけるエンドポイントセキュリティの強化(より厳格な構成管理と継続的なモニタリング)
- 内部ツール全体のアクセス監査の頻度引き上げ
- 内部システムでのエクスポート量に対する異常検知とアラートの導入
加えて、同社は流出した情報の公開や誤用の兆候を検知するため、公開ネット領域やその他のチャネルでの監視も継続しているとされています。これまでのところ、そうした公開や誤用は確認されていません。
ユーザーが取るべき行動——フィッシングへの警戒
Ultrahumanは、インシデント後の標準的な対応として、ユーザーに対しフィッシング詐欺への警戒を呼びかけています。Ultrahuman・注文情報・個人情報に言及する身に覚えのないメール・SMS・電話、特に緊急性をあおったり、リンクのクリックを求めたりするものには注意するよう促されています。
同社は「メールやSMSでパスワードや決済情報、その他の個人情報の確認を求めることはありません」と明言しています。問い合わせはセキュリティ専用のメールアドレス「security-2026@ultrahuman.com」宛に、件名を「Security Incident」として送るよう案内されています。詳細はultrahuman.com/legal/notice-march-2026でも公開されているとされています。
リング型ウェアラブルは、心拍・睡眠・体温など極めて個人的なバイオメトリクス情報を扱う製品です。今回はパスワードや決済情報の流出は確認されていませんが、Ultrahuman Ringユーザーであれば、見覚えのない連絡が同社や配送関連を装って届いた際にはまず疑ってかかるのが妥当です。当面は続報を待ちつつ、フィッシング対策を徹底するのが現実的な対応と言えそうです。
スマートリング市場の急拡大とUltrahumanの米国復帰戦略
Fortune Business Insightsによれば、スマートリングの世界市場規模は2025年時点で約4億1690万ドルで、2034年には37億7000万ドルに達すると見込まれています。2026〜2034年のCAGRは29.30%とされ、競争は一段と激しさを増しています。
| 主要プレイヤー | 2026年の主な動き |
|---|---|
| Oura | 5月28日にRing 5を発売、5月21日に評価額110億ドルでSEC IPO申請 |
| Samsung | Galaxy Ringの後継機を未発表、サブスク不要・$399を維持 |
| Ultrahuman | 2月27日にRing PROを発表、米国向け再設計で復帰を狙う |
UltrahumanがRing PROを米国に投入する背景には、ITC(米国国際貿易委員会)の排除命令によりRing Airの輸入・販売が事実上停止された経緯があります。TechCrunchによれば、同社は並行してテキサス工場での「Made in USA」Ring Airの生産可能性も探っているとされています。
ウェアラブルが扱うバイオメトリクスデータと規制の現状
リング型を含むコンシューマー向けウェアラブルが収集する健康データは、米国ではHIPAAの保護対象外で、医療機関のデータより連邦レベルの保護が弱いと指摘されています。内部システムへの不正アクセスで連絡先や購買履歴、フィットネス関連データまで影響が及ぶ事例は、こうした規制の空白を浮き彫りにしています。
2026年に動いた主な制度
- インディアナ州・ケンタッキー州・ロードアイランド州で1月1日に包括的な消費者プライバシー法が施行され、対応州は計20に拡大しました
- 一部の州法では心拍・皮膚温・睡眠といったウェアラブル由来の指標を機微情報と位置づけ、販売・利用のオプトアウト権を消費者に認めています
- 日本でも4月にAPPI改正が承認され、バイオメトリクスデータに関する規律が厳格化されたとされています
連邦レベルでも、Jacky Rosen上院議員(民主党・ネバダ州)とBill Cassidy上院議員(共和党・ルイジアナ州)が提出した超党派のSmartwatch Data Actが、ウェアラブル健康データの販売・共有に事前の本人同意を求める内容で審議されています。
Q&A
Q. パスワードや決済情報は漏れていますか? Ultrahumanは、今回のインシデントでパスワード・クレジットカード情報・決済情報は対象に含まれていないと説明しています。アクセスを受けたのは社内分析用のシステムで、決済関連データは関与していなかったとされています。
Q. 影響を受けたユーザーは何をすべきですか? 同社はフィッシングへの警戒を呼びかけています。Ultrahumanや注文・個人情報に言及する身に覚えのないメール・SMS・電話、とくにリンクのクリックや個人情報の確認を急かす連絡には注意してください。Ultrahuman自身はメールやSMSでパスワードや決済情報の確認を求めることはないと明言しています。
Q. リング本体は使い続けて大丈夫ですか? Ultrahuman Ringは通常通り動作し、ウェルネス情報の記録にも影響はないとされています。今回影響を受けたのは社内分析システム上のデータで、リング側の機能や日常的な記録への影響については、詳細は出典元を参照してください。
