企業や団体が利用するメールサーバ、メール配信システム、業務用メールアカウントを狙った不正アクセスが相次いでいます。
メールは、顧客対応、会員向けのお知らせ、請求・見積もり、問い合わせ対応、パスワード再設定、社内外の業務連絡など、あらゆる業務に使われる基盤です。
そのため、メールシステムが侵害されると、単に「メールが使えなくなる」だけでは済みません。
過去に送受信したメールの本文、添付ファイル、メールアドレス、パスワード、顧客情報、取引先情報などが外部に漏えいするおそれがあります。さらに、漏えいしたメールアドレスや認証情報が、フィッシング、なりすまし、不正ログイン、ランサムウェア攻撃の入口として悪用される可能性もあります。
実際に、2026年6月にはKDDIがISP事業者向けに提供するメールシステムへの不正アクセスを公表し、最大1422万件のメールアドレスやパスワードが漏えいした可能性が報じられました。影響はBIGLOBE、@nifty、J:COM NETなど複数のメールサービスに及んでいます。
また、メール配信システム「める配くん」の一部サーバに不正アクセスがあり、情報漏えいと考えられる痕跡が確認された事例もあります。佐渡トキファンクラブでは、同システムを利用したメールマガジン読者のメールアドレス4,111名分が漏えいした可能性があるとされています。
メールは便利である一方、企業や団体にとっては非常に重要な情報資産です。
この記事では、メールサーバやメール配信システムが狙われやすい理由、漏えい時に起こりうるリスク、企業が確認すべき対策を整理します。
なぜメールサーバ・メール配信システムが狙われるのか
メール関連システムが攻撃対象になりやすい理由は、主に次の5つです。
1. メールアドレスとパスワードが大量に保存されている
メールサーバやメール配信システムには、多数のメールアドレスが保存されています。
メール配信システムであれば、メルマガ登録者、会員、顧客、イベント参加者、問い合わせ経験者などのメールアドレスが登録されています。サービスによっては、氏名、会社名、属性情報、配信履歴、クリック履歴などを保持していることもあります。
ISP向けのメールシステムでは、メールアドレスだけでなく、メールサービス利用に関わるパスワードが問題になるケースもあります。
KDDIの事例では、メールアドレスとパスワードが第三者に不正取得された可能性があり、利用者にメールパスワードの変更が呼びかけられています。
メールアドレスとパスワードがセットで漏えいすると、攻撃者は次のような攻撃に使うことができます。
- メールアカウントへの不正ログイン
- 他サービスへのパスワードリスト攻撃
- フィッシングメールの送信
- なりすましメール
- 請求書詐欺やBEC詐欺
- 社内外の関係者を狙った二次攻撃
メールアドレス単体でもリスクはありますが、パスワードや過去のやり取りと組み合わさると、被害は一気に大きくなります。
2. 過去のメール本文や添付ファイルに重要情報が残っている
メールアカウントの侵害で見落とされがちなのが、過去に送受信したメールの中身です。
日本オークション協会の事例では、業務で利用していたメールアカウントに第三者からの不正アクセスが発生し、過去に送受信されたメールに記載されていた顧客・取引先の個人情報の一部が閲覧された可能性があると公表されています。
つまり、データベースが侵害されていなくても、メールアカウントが侵害されるだけで情報漏えいは起こりえます。
メールには、次のような情報が残りがちです。
- 氏名
- メールアドレス
- 電話番号
- 住所
- 会社名
- 見積書
- 請求書
- 契約書
- 問い合わせ内容
- 顧客対応履歴
- 添付ファイル
- ID・パスワードの通知
- 取引先とのやり取り
特に中小企業や団体では、メールボックスが事実上の顧客管理台帳になっていることがあります。
その状態でメールアカウントが侵害されると、「メールを見ることができるだけ」ではなく、「顧客対応の履歴ごと外部に見られる」状態になります。
3. 外部サービスや委託先を経由して影響が広がる
メール配信システムは、自社でサーバを運用する場合もありますが、多くの企業や団体は外部サービスを利用しています。
外部のメール配信サービス、レンタルサーバ、ISP向けメール基盤、CRM、MAツールなどにメール関連情報を預けているケースは珍しくありません。
この場合、自社のシステムが直接攻撃されていなくても、利用している外部サービスや委託先の侵害によって影響を受ける可能性があります。
たとえば「める配くん」の事例では、同サービスの一部サーバで不正アクセスによると考えられるシステム障害と情報漏えいが発生したと報じられています。これにより、同サービスを利用していた複数の団体が、自団体のメールマガジン登録者などに対して注意喚起を行っています。
外部サービスを利用している場合、企業側は「自社の管理外だから仕方ない」と考えてしまいがちです。
しかし、利用者や顧客から見ると、メールを送っていた企業・団体にも一定の説明責任が生じます。
4. メールは攻撃の入口にも出口にもなる
メールは、情報が漏れる場所であると同時に、攻撃を広げるための手段にもなります。
攻撃者がメールアカウントに侵入すると、実在する担当者のアドレスからメールを送ることができます。これにより、受信者は通常の迷惑メールよりもだまされやすくなります。
たとえば、次のような攻撃が考えられます。
- 取引先になりすまして請求書を送る
- 社内関係者になりすまして添付ファイルを開かせる
- 顧客に偽のログインページを案内する
- 過去のメールスレッドに返信する形で不正URLを送る
- 正規の署名や文面を流用してフィッシングメールを送る
攻撃者にとって、メールアカウントの侵害は非常に価値があります。
なぜなら、メールアカウントの中には、関係者、文脈、業務内容、添付資料、過去の会話がそろっているからです。
これは単なるメールアドレスリストよりも、はるかに悪用しやすい情報です。
5. 古いサーバや設定不備が残りやすい
メール関連システムは、長く使われ続ける傾向があります。
一度設定すると、業務上の影響が大きいため簡単には変更されません。その結果、次のような問題が残りやすくなります。
- 古いメールサーバを使い続けている
- 管理画面のアクセス制限が弱い
- パスワードが長期間変更されていない
- 多要素認証が設定されていない
- 退職者アカウントが残っている
- メーリングリストの管理者が不明確
- 外部委託先との責任範囲が曖昧
- 脆弱性対応が遅れている
- ログ監視が不十分
KDDIの事例では、システムで利用していた第三者製ソフトウェアの脆弱性が悪用されたと報じられています。
メールシステムは、表から見えにくい基盤です。
しかし、攻撃者にとっては、侵害できれば得られる情報が多く、被害を広げやすい領域です。
メール関連システムの侵害で起こりうる被害
メールサーバやメール配信システムが侵害されると、次のような被害が起こる可能性があります。
1. メールアドレスの漏えい
最も起こりやすいのが、メールアドレスの漏えいです。
メールアドレスだけであっても、攻撃者にとっては価値があります。メールアドレスが漏えいすると、フィッシングメール、迷惑メール、なりすましメールの送信先として利用される可能性があります。
特に、特定のサービスや団体の会員メールアドレスであることが分かる場合、攻撃者はその文脈に合わせたフィッシングメールを作成できます。
たとえば、メールマガジン登録者のアドレスが漏えいした場合、次のような偽メールが作られる可能性があります。
- 登録情報の確認を求めるメール
- 配信停止を装うメール
- イベント案内を装うメール
- パスワード変更を促すメール
- 寄付や支払いを求めるメール
メールアドレスだけなら安全、とは言い切れません。
2. パスワードの悪用
メールアドレスとパスワードが漏えいした場合、被害はより深刻です。
攻撃者は、そのメールサービスだけでなく、同じID・パスワードの組み合わせが使われている別のサービスにもログインを試みる可能性があります。
これは、いわゆるパスワードリスト攻撃です。
利用者が複数のサービスで同じパスワードを使い回している場合、メールサービスの認証情報漏えいが、ECサイト、金融サービス、SNS、業務システムなどの不正ログインにつながることがあります。
3. 過去メールの閲覧
業務用メールアカウントが侵害された場合、過去メールの閲覧リスクがあります。
過去メールには、顧客や取引先とのやり取りがそのまま残っています。添付ファイルが残っている場合、見積書、請求書、契約書、本人確認書類、社内資料などが閲覧されるおそれもあります。
メールボックスの中身は、企業の業務履歴そのものです。
メールアカウント侵害は、単なるアカウント乗っ取りではなく、情報資産の漏えいと捉える必要があります。
4. なりすまし・二次攻撃
侵害されたメールアカウントは、なりすましに悪用される可能性があります。
特に危険なのは、過去のメールスレッドを悪用した攻撃です。
攻撃者が過去のやり取りを把握していれば、自然な文脈で「先ほどの件ですが」「こちらの資料をご確認ください」といったメールを送ることができます。
受信者から見ると、実在する相手から届いたメールに見えるため、不正URLや添付ファイルを開いてしまうリスクが高まります。
5. 業務停止・配信停止
メール配信システムやメールサーバが侵害された場合、調査や被害拡大防止のためにシステム停止が必要になることがあります。
メール配信が止まると、会員向け告知、顧客対応、重要なお知らせ、請求関連の連絡などに影響します。
メールは多くの企業にとって当たり前のインフラですが、止まると業務への影響は非常に大きくなります。
企業が確認すべき対策
メール関連システムの不正アクセスを防ぐためには、技術的な対策と運用面の見直しを組み合わせる必要があります。
1. メールアカウントに多要素認証を設定する
業務用メールアカウントには、可能な限り多要素認証を設定すべきです。
IDとパスワードだけでは、漏えい・使い回し・推測・フィッシングによって突破される可能性があります。
特に次のアカウントは優先的に多要素認証を設定する必要があります。
- 管理者アカウント
- 代表メールアカウント
- 問い合わせ対応アカウント
- 請求・経理関連アカウント
- メール配信システムの管理者アカウント
- 顧客対応に使う共有アカウント
共有アカウントを複数人で使っている場合は、個人ごとにログインできる仕組みに変更することも検討すべきです。
2. パスワードの使い回しを禁止する
メールアカウントのパスワードは、他サービスと使い回してはいけません。
メールはパスワード再設定の受け皿にもなるため、メールアカウントを乗っ取られると、他サービスのアカウントも奪われる可能性があります。
企業側では、次の対応を徹底する必要があります。
- 複雑で長いパスワードを設定する
- 他サービスと同じパスワードを使わない
- 退職者や異動者のアカウントを削除する
- 共有パスワードを放置しない
- パスワード管理ツールの利用を検討する
3. メール配信システムの管理権限を見直す
メール配信システムには、顧客や会員のメールアドレスが大量に登録されています。
そのため、管理画面にアクセスできる人を必要最小限にすることが重要です。
確認すべきポイントは次の通りです。
- 管理者アカウントが何個あるか
- 退職者のアカウントが残っていないか
- 外部委託先に不要な権限が残っていないか
- ログイン履歴を確認できるか
- 多要素認証を設定できるか
- IPアドレス制限を設定できるか
- CSVエクスポート権限を制限できるか
特にメールアドレス一覧をCSVで出力できる場合、その権限は厳しく管理すべきです。
4. 外部サービスのセキュリティ体制を確認する
メール配信サービスやレンタルサーバを利用する場合、自社だけで全てを守ることはできません。
だからこそ、外部サービスのセキュリティ体制を確認する必要があります。
確認すべき項目は次の通りです。
- 脆弱性対応の方針
- 障害・不正アクセス発生時の通知体制
- ログ保存期間
- 管理画面の多要素認証
- IPアドレス制限
- データの暗号化
- バックアップ体制
- 委託先・再委託先の管理
- インシデント発生時の連絡窓口
外部サービスを使っているから安全、ではありません。
外部サービスを使っているからこそ、責任分界点を明確にしておく必要があります。
5. メールボックス内の重要情報を減らす
メールアカウントが侵害されたときの被害を小さくするには、メールボックス内に重要情報を残しすぎないことも重要です。
たとえば、次のような運用を見直すべきです。
- パスワードをメール本文で送らない
- 本人確認書類をメールに添付したまま残さない
- 契約書や請求書を長期間メールボックスに置かない
- 共有メールに顧客情報を蓄積しすぎない
- 定期的に不要なメールを削除・アーカイブする
- 重要ファイルは権限管理されたストレージで共有する
メールは便利ですが、長期間放置すると情報の保管庫になってしまいます。
6. 不審なログインや大量送信を監視する
メール関連システムでは、ログ監視も重要です。
次のような兆候があれば、不正アクセスを疑う必要があります。
- 海外IPからのログイン
- 深夜・休日の不自然なログイン
- 短時間で大量のメール送信
- 普段使わない端末からのアクセス
- 管理者権限の変更
- 不審な転送設定
- 身に覚えのないフィルタ設定
- ログイン失敗の急増
特にメールアカウントでは、攻撃者がメール転送設定を追加し、受信メールを外部に転送し続けるケースがあります。
メールアカウントの設定変更履歴も確認すべきです。
7. インシデント時の連絡手順を用意する
メールシステムが侵害された場合、対応が遅れるほど被害が広がります。
あらかじめ、次の対応手順を用意しておくことが重要です。
- 影響を受けたアカウントの停止
- パスワード変更
- 多要素認証の再設定
- 不審な転送設定の削除
- ログ調査
- 外部専門機関への相談
- 利用者・顧客への通知
- 関係機関への報告
- 二次被害への注意喚起
メールが止まると社内連絡にも支障が出るため、緊急時の連絡手段も別に用意しておくべきです。
利用者側が注意すべきこと
企業や団体から「メールアドレスが漏えいした可能性がある」「メールシステムに不正アクセスがあった」と案内を受けた場合、利用者側も注意が必要です。
特に次の点を確認してください。
- 同じパスワードを他サービスで使っていないか
- 不審なメールが届いていないか
- 偽のログインページに誘導されていないか
- 添付ファイルを安易に開いていないか
- 公式サイト以外からログインしていないか
- パスワード変更案内メールの送信元が正しいか
メールアドレスが漏えいしただけでも、今後フィッシングメールが増える可能性があります。
不審なメールに記載されたリンクからログインせず、必ず公式サイトや公式アプリから確認することが重要です。
まとめ:メールは重要な情報資産として守るべき
メールサーバやメール配信システムへの不正アクセスは、今後も発生する可能性があります。
メールは、企業や団体にとって最も身近な業務基盤です。しかし同時に、顧客情報、取引先情報、認証情報、業務履歴が集まりやすい場所でもあります。
今回のように、ISP向けメールシステム、メール配信システム、業務用メールアカウントなど、メールに関わる複数の領域で不正アクセスが確認されています。
企業が確認すべきポイントは、次の通りです。
- メールアカウントに多要素認証を設定する
- パスワードの使い回しを防ぐ
- メール配信システムの管理権限を見直す
- 外部サービスのセキュリティ体制を確認する
- メールボックス内の重要情報を減らす
- 不審なログインや大量送信を監視する
- インシデント発生時の連絡手順を準備する
メールは単なる連絡手段ではありません。
攻撃者から見れば、顧客情報、認証情報、取引先情報、業務の文脈が集まる価値の高い攻撃対象です。
企業や団体は、メール関連システムを「使えて当たり前の道具」としてではなく、「守るべき重要な情報資産」として見直す必要があります。