メール配信クラウド「める配くん」に不正アクセス プリマハムなど10社超で登録者情報が流出のおそれ

企業や自治体、NPOが幅広く使うメール配信クラウドサービス「める配くん」(運営:株式会社ディライトフル)が第三者による不正アクセスを受け、サービスを利用していた多数の組織のメールマガジン登録者情報が外部に流出した可能性があることが、2026年6月中旬以降に相次いで明らかになった。プリマハムをはじめ、業種も規模も異なる10社・団体以上が影響を公表しており、共通の配信基盤が破られたことで被害が横並びに広がる「サプライチェーン型」の情報流出事案となっている。

何が起きたのか

利用企業・団体の公式発表によると、事案の起点は運営元ディライトフルのサーバーへの不正アクセスである。委託元のひとつであるアジア保健研修所(AHI)が公表した経緯では、2026年6月11日(木)に同社サーバーへ第三者による不正アクセスが発生し、6月16日(火)に会員の個人データが漏えいした恐れがあることが判明。翌17日(水)に運営元から委託元へ通知があったとされる。

流出した可能性がある情報は、メール配信システムに登録されていた「お名前」と「メールアドレス」である。AHIは公式発表で対象となり得る情報として「お名前」「メールアドレス」を挙げ、クレジットカード情報や住所、電話番号については当該システムに登録されていないと説明している。攻撃はサーバー上の個人データを狙ったもので、AHIは「サーバー内に保管されていた個人情報が窃取された可能性が高い」とする報告を受けたとしている。

影響は業種横断で10社超に

める配くんは月額制で長年にわたり多数の企業・団体に使われてきた汎用的なメール配信基盤で、今回の不正アクセスの影響も特定の業界に偏らず横断的に広がった。セキュリティ専門メディアの報道によると、影響を公表・確認できている組織にはプリマハム、東京書籍のサービス「東書Eネット」、ユニリタ、Bizプリカ、京都国際舞台芸術祭(KYOTO EXPERIMENT)、佐渡トキファンクラブ、アジア保健研修所(AHI)などがあり、食品メーカーから教育、IT、文化・芸術、NPOまで顔ぶれは多岐にわたる。共通しているのは、いずれもメール配信の実務を「める配くん」という同一のクラウドサービスに委ねていた点である。

KYOTO EXPERIMENTは6月19日付の告知で、「第三者によるメール配信システムのサーバーへの不正アクセス攻撃により、サーバー内に保管されていた個人情報が窃取された可能性が高く、現在は外部専門機関への調査による影響範囲・情報流出の有無について確認中」と運営元からの報告内容を説明している。各利用組織は、流出のおそれがある情報がメールアドレス(および氏名)に限られる点をそろって強調しつつ、登録者に謝罪している。

運営元の対応と再発防止策

ディライトフルは不正アクセスを検知後、該当サーバーを緊急停止し、外部専門機関の指導のもとで攻撃経路の遮断と原因となった脆弱性の修正、サーバーの完全な再構築を進めていると、委託元向けの報告を通じて説明している。同社は対策本部を設置し、被害の全容把握に向けた調査を継続中だ。今後の再発防止策としては、多要素認証(MFA)の導入、暗号化の強化、WAF(ウェブアプリケーションファイアウォール)の導入など、監視・監査体制の大幅な強化を挙げている。

委託元の各組織は、個人情報保護委員会への報告を行っている。AHIは委託先の変更も視野に入れ、委託先管理を含めた個人情報の取り扱い体制を一層徹底するとしている。

見過ごせないリスクの本質 ― 委託先が破られれば全員が当事者に

今回の事案が示すのは、メール配信のような「裏方」のクラウドサービスが破られると、それを使っていた無関係な企業・団体が一斉に情報流出の当事者になってしまうという構造的リスクである。プリマハムのような大手から地域の団体、NPOまでが同時に名を連ねたのは、それぞれが個別に攻撃されたからではなく、共有していた配信基盤が一点突破されたためだ。自社のセキュリティをどれだけ固めても、委託先の防御が弱ければ利用者情報は漏れうる――委託先管理(サードパーティリスク管理)の重要性を改めて突きつける事例といえる。

流出したのが氏名とメールアドレスにとどまるとしても、リスクが小さいわけではない。これらは、実在の団体名をかたって受信者をだます「便乗フィッシング」の格好の材料になる。

AHIも「当団体や見覚えのない差出人からの不審なメール(URLのクリックや添付ファイルの開封を促すもの)には十分ご注意いただきたい」と登録者に呼びかけている。心当たりのある配信を受け取っていた利用者は、今後届くメールのリンクや添付ファイルの取り扱いに一層注意したい。サービス提供側にとっても、MFAやWAFといった基本的な多層防御を「導入済みか」を今すぐ点検すべきだというメッセージが読み取れる。

出典・参考リンク