電子ギフトサービスを展開する「ギフティ」社が運営する法人向けサービス「giftee for Business」で、大量の迷惑メールが送信される事象が発生した。
同サービスの利用申込みサイトのURLが外部から不正に機械的アクセスを受けたことが原因とみられている。
同社によると、2025年11月8日から9日にかけて、サービス利用者ではない不特定多数のメールアドレス宛に、自動返信メールの仕組みを悪用した迷惑メールが大量に送信されていたという。
「giftee for Business」では、アカウント登録時にメールアドレスへ認証メールを自動送信する仕様が採用されている。
今回の事象では、この自動送信機能が不正アクセスによって連続して利用され、結果として大量の迷惑メール送信につながった。
送信されたメールの件数は、11月10日時点で約58万件に達する
なお、送信先となったメールアドレスは、悪意ある第三者がgifteeとは無関係に入手または生成したものとみられ、同社側で保有していた情報が流出したわけではないと説明されている。
発覚後、同社は即時に登録機能を停止し、該当URLへのセキュリティ強化を実施。
現在も詳細な調査を継続しており、追加情報が判明した場合は改めて報告するとしている。
同社は、@giftee.bizのドメインから心当たりのないメールを受信した場合、添付ファイルや本文中のURLを開かず削除するよう呼びかけ。
また、今回迷惑メールを受け取ったメールアドレスは、既に第三者に知られている可能性があるため、他のサービスで同じものを使用している場合は変更するよう推奨している。
ギフティは「ご迷惑とご心配をおかけし深くお詫び申し上げる」とコメントしており、再発防止策の強化を進める考えを示した。
【参考記事】
https://giftee.co.jp/
