ブランド品など高級古物の二次流通を担うオークション事業者で、業務用メールアカウントへの不正アクセスが発覚した。ゲオホールディングスのグループ企業である株式会社日本オークション協会(本社:東京都豊島区、代表取締役:尾田充)が2026年6月24日に公表したもので、過去に送受信したメールに記載されていた顧客・取引先の個人情報、523件分が第三者に閲覧された可能性があるとしている。データベースそのものへの侵害ではなく、「メールアカウント一つ」を起点に情報が漏れうる典型的なケースとして注目される。
サーバー管理会社の警告通知が発端
同社の発表によると、きっかけは2026年6月12日、利用しているサーバー管理会社からの警告通知だった。これを受けて調査を行った結果、同社が自社提供サービス「らくらく査定」の運用や各種問い合わせ対応などに使っているメールアカウントに対し、第三者からの不正アクセスが発生していたことが判明した。
その後のデータ解析調査により、当該メールアカウント内に保管されていた、過去に顧客や取引先とやり取りしたメールなどが閲覧された可能性が確認されたという。 同社は、本件があくまでメールアカウント単体に対する不正アクセスであり、「らくらく査定」のシステム自体が直接ハッキングされたり、データベースが侵害されたりした事実は確認されていないと説明している。
漏えいの可能性がある情報と対象件数
同社が公表した、漏えいの可能性がある情報は次のとおりで、対象件数は523件とされる。 含まれる可能性があるのは、氏名(個人名のほか、社名・屋号・店舗名・役職)、メールアドレス、住所、電話番号・FAX番号、「らくらく査定」のID/パスワード、口座情報、そしてクレジットカード番号の一部(下4桁)である。メールのやり取りの中に記載されていた情報が対象となるため、査定や取引に関する連絡を行った個人・法人の双方が影響を受けうる。
実施された対応と二次被害への備え
同社は発覚後、直ちに当該メールアカウントおよび社内で使用している全メールアカウントのパスワードをより強固なものへ変更し、外部からの不正アクセスは完全に遮断されたとしている。 さらに、二次被害防止の予防的措置として、緊急メンテナンス期間(6月16日~25日)に「らくらく査定」会員のパスワードを同社側で強制的にリセット(無効化)する緊急措置を実施した。これは、メールアカウントへの不正アクセスに伴い、同アカウントを悪用した「パスワードリセット機能」等によるシステムへの不正ログインの可能性を完全には否定できない、との判断によるものだという。再発防止策としては、社内体制の見直しやシステム監査の強化、個人情報の取り扱いに関する社員教育の徹底を挙げている。
メールアカウント一つが持つリスクの大きさ
この事案が示すのは、「メールアカウントが1つ乗っ取られるだけで、過去のやり取りに含まれる情報がまとめて危険にさらされる」という事実である。業務メールには、査定金額や口座情報、本人確認に使う情報など、機微なデータが長期間蓄積されがちだ。システム本体やデータベースが無事でも、メールボックスという「情報の貯蔵庫」が破られれば、実質的に大量の個人情報が流出しうる。 特に、下4桁とはいえクレジットカード番号や、ID/パスワードが対象に含まれている点は軽視できない。同社が会員パスワードの強制リセットに踏み切ったように、認証情報が漏れた前提での予防的対応は妥当な判断といえる。対象となった個人・取引先は、同社やゲオグループを装った不審なメール・電話に注意し、他サービスで同じパスワードを使い回している場合は速やかに変更しておきたい。企業にとっては、メールアカウントの多要素認証の徹底や、不要になった過去メールの保存期間の見直しが、被害の芽を小さくする現実的な備えとなる。
